媒体报道

19款手机面部解锁被“秒解”,人脸识别还安全吗?|深度报道

2021-03-05 09:26:33 吉布斯科技 0

记者/张蕊

编辑/计巍


人脸识别
测试人员在破解手机人脸识别系统

一台打印机、一张A4纸、一副眼镜框。

不到15分钟,19部不同型号手机上的人脸识别系统全部被破解,平均每部手机的破解时间不到1分钟。唯一没被破解的,是一部搭载了3D人脸识别系统的iPhone11。

顺利解锁手机还只是第一步,如果想进一步操作,“破解者”还可以假冒机主在线上完成银行开户,甚至是转账。

好在,这只是一个研究项目,而非现实生活中的实际应用。2月初,来自清华大学人工智能研究院的AI团队瑞莱智慧公司公布了手机人脸解锁的一项重大漏洞——通过AI算法生成特殊花纹,定制成“眼镜”戴上后就可以让手机的面部解锁系统失灵。不仅如此,团队还用同样的方法破解了一些政务类和金融类APP的人脸识别系统。

该研究项目负责人之一、瑞莱智慧高级产品经理张旭东在接受深一度记者采访时表示,上述攻击测试实际上利用了“对抗样本攻击”的算法漏洞,“这一漏洞可能涉及所有搭载人脸识别功能的应用和设备,一旦被黑客利用,使用人的隐私安全和财产安全都将受到威胁。”

测试结果公布后,再次引发公众对人脸识别技术的疑虑,如此轻松就被破解成功,人脸识别安全吗?你还敢在外面“录脸”吗?

测试员在演示如何破解手机人脸识别系统

人脸识别
“对抗眼镜”

瑞莱智慧公布的整个测试过程,只用到了三样东西:一台打印机、一张A4纸、一副眼镜框。

他们首先将20部手机统一录入一名测试人员的人脸验证信息,之后,攻击测试人员戴上制作好的“眼镜”依次去解锁,最终,除iPhone11 外,其余19部手机全部“秒解锁”。

“我们以为会需要多调优几次,没想到这么容易就成功了。”张旭东说,这一结果“顺利”得让团队感到意外。

测试过程中使用的眼镜被称为“对抗眼镜”,它的制作过程并不复杂——要解锁某个人的手机,仅需要用到对方的一张照片和自己的一张照片,然后输入到提前开发好的攻击算法中,算法会基于两个人的照片自动生成一个最优图案,即所谓的“干扰补丁”,然后再把“干扰补丁”覆盖到对方的照片上,打印出来,贴在镜框上,“对抗眼镜”就制作好了。

测试人员戴上这幅眼镜就能实现对使用人脸识别系统的手机以及APP的破解,“这就是所谓的‘对抗样本’。”张旭东说,“对抗样本”是算法自动计算出的最佳图案,制作成为眼镜后,就能够使算法识别错误,将不同的两个人识别成为同一个人。

为了骗过算法的“活体检测”,测试人员还在照片的两只眼睛处剪开了棱形的小洞,“有些APP在登录或者使用某些功能的时候,会让做眨眼、张嘴等动作,照片遮挡了眼部,这种方式能保证被算法识别成‘活体’,从而被错误地识别。”

事实上,活体的动态识别也正是攻击的难点所在。张旭东表示,目前市面上常见的攻击手段以“假体攻击”为主,比如照片、动态视频、3D头模或面具,识别终端采集的仍然是机主本人的图像素材。要想攻破动态检测相对较为困难,“自从2014年防假体标准推出,业界主流算法都搭载了活体检测能力。但本质上,这还是可以通过‘劫持’摄像头来绕过活体检测。”

张旭东解释,正常情况下,识别系统读取的是摄像头采集的数据,而“劫持”摄像头之后,就可以对采集的数据进行改动,“想让(摄像头)读什么,它就读什么。”

“顺利解锁手机只是第一步,其实我们通过测试发现,手机上的很多应用,包括政务类、金融类的APP,都可以通过‘对抗样本’攻击来通过认证,甚至我们能够假冒机主在线上完成银行开户,下一步就是转账。”张旭东说。

人脸识别
使人脸识别系统算法出错的“对抗眼镜”

人脸识别
漏洞与风险

2015年,是国内人脸识别开始被广泛应用的一年。当年,中科院重庆分院人脸识别团队率先与呼和浩特铁路局合作,将人脸识别技术运用于铁路安防系统。同年5月,微众银行、浙江网商银行均表示将利用“远程人脸识别+身份证件核实”的模式为金融客户开立账户。12月25日,央行发布《关于改进个人银行账户服务加强账户管理的通知》,将生物特征识别技术作为核验身份的辅助手段,人脸识别应用再提速。

这也让张旭东及其团队意识到,如果日后普及人脸识别,就必须要解决其安全性问题。他们的相关研究也因此开始,“人脸识别可能是公众日常生活中接触最多的人工智能应用场景,我们想弄明白,商用系统中是否存在一定的漏洞。”

几年的试验过程并没那么容易。拿干扰因素来说,制作“对抗样本”时的光线、色彩甚至打印机都可能造成不同的结果,需要一遍一遍调试,一张一张打印出来测试,“比如两个人眼睛之间的距离,如果拉长或者缩短,就要重新去打印。”半年的时间里,张旭东和他的团队打印了数千张仅有非常细微差别的照片,“因为每张照片都只需要眼睛和鼻子周围那部分的图案,所以照片必须剪裁好,粘好,戴好,才能测试出效果如何。”

为了配合活体测试,张旭东不记得自己为此眨过多少次眼、张过多次嘴了,“之前的算法可能做得不太好,老是检测不到我的脸,有时候光做张嘴的动作,做得我脸都僵硬了。”

值得注意的是,在此次测试中,未能成功解锁的iPhone11搭载的是3D人脸识别技术,这也意味着,相对于2D人脸识别技术来说,3D人脸识别技术要更安全一些。

“从测试的结果来看确实如此。”张旭东说,3D人脸识别方案包括“结构光”、“飞行时间法”等技术手段。它与2D方案的区别在于,其采集的是人脸三维立体信息,这些信息可能只应用在人脸识别的活体检测环节,也可能既用来判断活体也用来做识别,“我们对抗眼镜的制作比较简单,就是在平面图案上添加了一些干扰因素,所以对于3D来说,没能攻击成功。”

尽管截至目前,并没有其他公司或研究团队能用一张“对抗样本”的补丁纸张去解锁市面上所有可以买到的手机,以及这些手机的服务系统,但这并不意味这一安全问题构不成威胁。

张旭东坦承,核心算法难度虽然很大,但如果被黑客恶意开源的话,难度就会大大降低,剩下的工作就只是找一张照片。“只要能拿到被攻击对象的照片,就能很快制作出犯罪工具并实现破解。”

北京市政协委员、天驰君泰律师事务所律师高警兵也一直在关注着人脸识别方面的安全问题,他建议,要加强人脸识别技术研究,如通过公共网络收集、传输、存储的人脸信息,都应使用加密措施,并对收集到的人脸信息进行分片段单独储存,不得公开披露人脸信息,“平台在运用此技术时,也应该从技术上进行革新,防止信息被第三方使用。”

人脸识别北京一小区,业主需要刷脸出入

人脸识别
攻与防

春节长假后的第一天,北京朝阳区一小区的业主夏向松再次接到了要求他去录入人脸信息的通知,这已经是小区物业关于这件事给他打的第5个电话了。物业工作人员在电话中称,小区马上就要启用新的门禁系统,不录人脸信息进出小区会很不方便,希望他能配合一下物业的工作。夏向松再次拒绝,“我还是选择用门禁卡进出。”

在夏向松看来,录人脸“很危险”,一旦信息泄露,那就再也没办法从网络上消除了。特别是当他看到,目前已经有技术能够轻易解锁诸多具有人脸识别功能的手机和APP的消息时,他很庆幸,没有在任何APP上留下过自己的人脸信息。

杭州电子科技大学副教授徐伟栋在第一时间就注意到了瑞莱智慧团队公布的消息,他认为这是一个比较严重的问题,“这个领域最大的风险并不来自于技术本身,而是人脸作为一个生物特征,是不能重置的,一旦被泄露,后果不堪设想。”

瑞莱智慧的攻击测试人员成功解锁手机后,可以任意翻阅机主的微信、照片等个人隐私信息,甚至还可以通过机主的手机银行等个人应用APP的线上身份认证完成开户。“很容易被攻破”,这也让张旭东发现,一些金融APP有关人脸识别模型做得并不好。

徐伟栋认同这个观点,他直言,并不是公司技术达不到,而是如果人脸识别的门槛设置得很高,那可能就会出现无法识别的情况。

“如果把人脸识别系统比喻成两根轴,横轴就是镜头不能把一个自然人识别成其他人,纵轴就是能在众多的人里面把该识别的人识别出来。” 徐伟栋说,金融公司都有自己的技术指标,通常是通过率越大越好,错误率越小越好。

徐伟栋指出,在金融公司的算法里,百分之九十九点九九的人都是使用者,而非攻击者,如果把识别的门槛设置得过高,那可能会有几十万,甚至上百万的人无法被识别,而降低门槛最直接的后果,就是假脸也被识别成真脸。

张旭东则认为,现有的人脸识别技术可靠度远远不够。这一方面受制于技术成熟度,另一方面受制于技术提供方与应用方的重视程度不够。“照片攻击手段的出现推动了活体检测技术的诞生,未来是否会有专门的产品与技术来应对‘对抗样本’的攻击?我认为这是一定的。”张旭东说,所有的攻击研究,最终的目标都是为了找出漏洞,然后再去针对性的打补丁、做防御。

不过,张旭东表示,虽然他们能从人脸识别技术提供方给出解决方案,但仍需要各方提高对人工智能安全问题的重视。

目前,已经有一些使用人脸识别系统的公司找到瑞莱智慧,希望能借助他们的“攻防”系统来提升自身APP的安全性。“大家都很担心自己的技术是不是不安全,会邀请我们去做攻击,如果攻击成功,也会让我们去做防御。”张旭东说,只有攻防不断升级,人脸识别技术的安全性才能越来越高。

据其透露,目前瑞莱智慧的客户以第三方研究机构和测评类单位为主,也和一些科技公司在合作,为其提供技术等支持。

“3D人脸识别会更多地应用于安全级别更高的场景,比如移动支付,我们也想知道‘对抗样本’攻击对这类场景会造成什么样的后果。希望通过研究攻击技术,发现更多潜在的漏洞,针对性地去升级我们的防御技术。”张旭东说。

人脸识别
登录手机APP查询有关信息也需要刷脸

人脸识别
“真的安全吗?”

看到朋友转发的有关“瑞莱智慧解锁手机和APP”的消息后,北京通州的一小区业主张家骏就开始忙着删除自己在小区物业和一些APP上录入的人脸信息,“本来以为使用人脸识别很方便,但现在看来隐患太大了。”张家骏说,物业一再承诺,业主的信息录入后并不在物业公司保存,而是经过“脱敏”后直接上传有关部门,安全上是可以保证的。但张家骏还是坚持要求物业删掉自己的人脸信息,“不确定是不是真的安全。”

“支付就不说了,现在就连有些公共卫生间取卫生纸都需要人脸识别。”这让张家骏特别困惑,真的有必要吗?

夏向松的疑问则在于,虽然目前《民法典》将生物识别列为个人信息,《个人信息保护法(草案)》也从图像采集、个人生物信息等角度做出了相关规定,但总体而言,现行的法律法规对人脸识别技术并没有具体的法律规定,那么就会出现一个问题,人脸信息泄露了怎么办?责任应该如何承担?

高警兵也注意到了现阶段人脸识别的安全问题,他发现,在一些日常使用场景中,采集方甚至未经被采集者的同意就用上了人脸识别。“行业比较混乱,针对采集人脸信息的公司没有规范管理办法,缺乏法律来规制。” 

在高警兵看来,目前很多收集人脸信息的机构并不具备相应的风险防控、安全保障能力、组织和机制。他认为,仅靠居民个人隐私保护意识的提高是远远不够的,必须严格把控人脸识别设备生产、使用的门槛,“采集时应当遵循必要原则,不应过度收集,居民提供信息时,应当拥有选择权和知情权,还要加强对采集行为的监管和约束。”

在事前防范上,高警兵指出,对任何部门安装、使用人脸识别技术应坚持有关政府部门批准同意原则。“有权机构在批准时,应考虑使用人脸识别技术的安全性、必要性、正当性以及使用过程的公开、透明等。”

高警兵建议立法部门明确人脸识别的有权使用主体、使用目的,使用范围和使用禁区等,“特别是要建立惩罚、赔偿制度,明确被识别对象的救济路径。”此外,张旭东还希望未来有关部门能够从算法安全的相关层面制定一个行业标准,也希望人脸识别应用领域能够有明确的立法。 

而在徐伟栋看来,眼下,人脸信息不被泄露的最好的方式就是不在任何场合和APP上录入自己的人脸信息。

(应受访者要求,文中夏向松、张家骏为化名)

【版权声明】本文著作权归北京青年报独家所有,授权深圳市腾讯计算机系统有限公司独家享有信息网络传播权,任何第三方未经授权,不得转载

人脸识别
人脸识别
被卷入借贷系统的年轻人
人脸识别
把2020年的张文宏留在14万字的报告文学里
人脸识别
藁城快递小夫妻:那晚我们说过的话,这辈子都不会忘|留守春节⑥
人脸识别

首页
产品
新闻
联系