【安防在线 www.anfang.cn】一张“神奇的贴纸”,将其放置在面部,就可以使人脸识别门禁系统误认为是本人,从而轻而易举打开大门;把其放置在眼镜上,就可以1秒解锁手机人脸识别,从而轻松探取隐私。这正是9月16日首届人工智能安全大赛颁奖典礼现场展示的真实攻防场景,人脸识别技术的安全性问题再次被关注。
手机解锁、移动支付、车站进站……当下,“刷脸”已成为最广泛的身份验证方式之一。但人脸识别真的安全吗?如何明晰人脸识别技术的应用边界,兼顾效率与安全,更有效地保护我们的“脸”?连日来,记者对此进行了采访。
十几元即可购买“一张人脸”
很难想到,仅仅通过一张贴纸就能完成“刷脸”。
事实上,人脸识别被破解已非新鲜事。早在2017年的“3・15”晚会上,主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了“刷脸登录”认证系统。2021年底,“考勤打卡神器”的新闻刷屏网络。就职于某保险公司的梁女士,每天无需到公司上班,通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的地理位置。在进行相关设置后,代理人输入自己的工号、上传照片,在家里就能完成每日打卡并拿到全勤奖。
“网上定制人脸面具,游戏申诉秒过!”9月12日,在太原工作的刘承宇用购买的“人脸”完成游戏解锁,给网店打出了5星好评。刘承宇告诉记者,他闲暇时间喜欢玩网游,但由于账号是朋友帮忙申请的,游戏中频频出现的人脸识别让他犯难了。偶然看到微信群中有网友分享,定制的人脸识别面具通过的概率大,就果断下单尝试,没想到一次就成功了。
记者在淘宝上搜索“定制面具”“人脸识别”等关键词,随机出现很多人脸识别面具定制商家,价格在10元至40元之间,多用于上班打卡、手机解锁、游戏申诉等。
“您的识别系统,平时打卡需要眨眼张嘴吗?第一次录系统时是打卡机拍照,还是录制的视频?平时打卡的时候有没有一个方框或者圆框锁定脸部?清晰回复让客服判断一下通过的概率高不高。”记者选择了一款月销量高达900余件的人脸识别面具,咨询是否能顺利打卡成功,客服表示该款面具材质是平面相册纸经塑封制作而成,客户发送清晰的正面头部图像即可制作,针对人脸识别的打卡机通过率很高,但各地识别系统不同,识别的维度也不同,并不能保证百分之百能够通过。
该款人脸面具的评论中,大多数买家给予了好评:“成功率很高,活物识别也可以,已经2次回购了”“顺利打卡成功,上下班省了很多事,下次会让同事再光顾”“游戏申诉一次成功,解了燃眉之急”……
明明不是自己的脸,却能轻松完成识别,不少用户担忧,我的人脸信息还安全吗?
破解人脸识别案件频发
8月初,一条“收集个人信息提供‘代过人脸’被公诉”的新闻登上热搜,犯罪嫌疑人利用网络工具收集整理了公民个人信息44万余条,用特定软件破解人脸识别的方法,以远程操作方式帮助未成年人绕过防沉迷系统,并向游戏代练出售可以“代过人脸”的手机。忻州网友@五谷配方在微博留言:“如今人脸信息与个人身份、金融、位置甚至偏好等信息均为绑定关系。一旦人脸被‘偷走’,在不法分子面前用户相当于在‘裸奔’,合法权益极易遭受侵害。”
无独有偶,“刷脸”安全频遭质疑。去年3月,超5亿元的虚开发票案牵出非法人脸识别案,犯罪嫌疑人从他处购买他人的高清头像和身份证信息,处理后让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频,利用特殊处理“劫持”手机,使系统不启动摄像头,而是获取之前做好的视频,破解了多款用户量巨大的App。去年6月,一名储户从网站下载了假冒的诈骗软件和视频会议软件,被套取了银行卡和密码以及人脸信息等关键内容,远程操控其手机,在本人不知情的情况下进行6次人脸识别,被骗走近43万元。
人脸识别为何会被破解?中北大学视觉计算与大数据技术研究所副所长乔钢柱教授介绍,人脸识别技术即为特征码识别,对瞳孔到鼻子、眉毛、耳朵、嘴的距离,进行特征点提取,通过算法比较与数据库中预存的人脸信息是否匹配。当静态照片、通过播放预录制动态视频、利用图像处理或三维建模软件将照片转换为动态视频等虚假人脸中的特征点与预存的人脸信息吻合,极有可能骗过人脸识别算法。
除了人脸识别算法被“钻空子”,系统本身也亟待优化。人工智能算法工程师吴昊表示,不法分子常通过入侵人脸识别设备,或在设备上植入后门,通过特定程序劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验;或劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,将真实信息替换为虚假信息,以实现虚假人脸信息的通过。
守护“脸”安全任重道远
如何更有效地保护我们的“脸”?乔钢柱认为,要提升人脸识别算法的精准度。增加算法检测、唇语检测、颜色漫反射检测、红外摄像头扫描等。随着公安部、网信办等监管单位近期整治工作的开展,部分人脸识别开发商已经逐步升级活体校验算法,增加校验机制,从一定程度上增强了攻防对抗门槛,降低攻击风险。
吴昊也建议,要建立人脸识别安全评估机制,做好加固工作,保证人脸数据存储以及传输的完整性、机密性。
“单依靠技术升级,无法完全避免人脸识别安全隐患。”北京市汇京律师事务所律师朱琴认为,优化人脸识别系统可以短暂解决安全问题,但人脸信息属于生物识别信息,也属于个人敏感信息,需进一步以立法立规、制定标准等方式,对其应用安全加以引导。
针对“人脸”安全痛点,我国在立法层面有了明确规定和高规格的保护。去年8月1日,最高法发布司法解释,对人脸信息处理予以专门规定,其中包括收集人脸信息需征得单独同意、禁止物业强制刷脸等。《个人信息保护法》也对“敏感个人信息的处理规则”作出专门规定,明确“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”“处理敏感个人信息应当取得个人的单独同意”等。
朱琴表示,目前我国《个人信息保护法》中采用的是多部门管理机制,网信部门、市场监管部门等都是个人信息保护监管部门。要进一步明确各部门监管职能定位,加大对涉“脸”违法行为的处罚力度,同时,尽快设置“人脸识别”业务类企业准入门槛,加强对经营和购买“人脸识别”相关业务企业的监管力度。
该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们。