每单低至25元!人脸识别为何这么容易被不法分子破解?
每单低至25元!人脸识别为何这么容易被不法分子破解?
首发:3月30日《新华每日电讯》调查观察
人脸识别技术以其便捷性在政务、安防、金融以及日常生活消费等领域得到了广泛运用。然而,新华每日电讯的记者在调查中发现,这项技术存在明显的安全隐患,可能对公共和财产安全构成严重威胁,因此迫切需要进行全面的安全检查和漏洞修补。
瑞莱智慧团队的研究人员通过一副特殊设计的眼镜成功破解了手机的人脸识别功能,相关图片由受访者提供。
一起发票案牵出非法人脸识别案
上海检察机关传来消息,近期虹口区人民检察院审理了一起重大虚开增值税普通发票案件。该案中,犯罪嫌疑人采用破解人脸识别技术等手段,设立了虚假公司,用以虚开发票。据调查,涉案被告人共为他人开具了价值超过5亿元的增值税普通发票。
在案件发生过程中,嫌疑人先是利用相关政府服务平台进行了“皮包公司”的注册,而在此注册流程中,平台对注册人进行的人脸识别验证成为了确保注册顺利完成的至关重要的步骤。
为了实现既定目标,涉嫌犯罪的个体中那些专门从事人脸识别技术破解的人员透露,他们通常以每人30元的价格收购他人的高清晰度照片及身份证资料,随后借助“活照片”应用程序对高清照片进行操作,使之呈现点头、摇头、眨眼、张嘴等动态动作的视频。
视频获取之后,我们采用了一种经过特别处理的手机,对摄像头进行了“劫持”,使得在人脸识别过程中,摄像头无法正常启动。系统所获取的是事先录制好的视频资料。它误以为这是本人站在摄像头前,最终顺利通过了认证。据犯罪嫌疑人供述。
该犯罪团伙还成功破解了广泛应用于电子营业执照App管理的人脸识别系统。在下载电子营业执照之后,嫌疑人会在App中录入办事员的个人信息。借助这些信息,虚开发票的团伙得以假冒办事员身份,进而使用电子营业执照。
犯罪嫌疑人供称每单低至25元!人脸识别为何这么容易被不法分子破解?,他所破解的应用程序种类繁多,包括政务、安防、金融、支付以及生活消费等多个领域,这些App的用户基数庞大。单次破解的费用范围在25元至300元之间。
图为瑞莱智慧团队研究人员用一副特制眼镜攻破了手机人脸识别系统。 受访者供图
15分钟破解19款手机的人脸识别系统
记者获悉,由清华大学人工智能研究院孵化成立的瑞莱智慧团队近期公布了一项创新成果:研究人员利用一张图片,借助算法研究,成功打造出一副特殊的“眼镜”,此“眼镜”能实现人脸识别解锁他人手机或进行App的身份验证,整个过程仅需15分钟,即可破解19款手机的人脸识别系统。
研究团队向媒体披露,他们在成功抵御样本攻击的情况下,佩戴自制的眼镜设备,在短短15分钟内便解锁了19部智能手机的人脸识别功能。此外,还有超过十款涉及金融及公共服务的应用程序也遭受了同样的破解。
研究团队指出,通过整合身份证号码等个人资料,甚至有可能假扮机主成功开设网络银行账户。
“过脸识别技术”群里,黑客成“贵客”
记者观察到,网络上充斥着众多提供破解人脸识别技术服务的社群,这些社群的名称通常选用“过脸”、“识别技术”等词汇来规避监管。这些社群的成员数量在100至300人之间不等。
在“过脸识别技术”这个群里,有人通过付费手段招募那些能够破解支付软件人脸识别审核机制的专业人士。这些黑客因此成为了众人争相欢迎的“座上宾”。
此外,部分群组专注于破解技术的资料与资源交换。其中,一个叫作“VX三色过脸”的群组自诩为“破解人脸识别技术的领军人物”,声称适合想要加入此行业的新手和初学者,群内成员数量已超过300人。
“蓝叶子”用户向记者发送了一段关于App人脸识别安防系统破解的视频,并声称能够提供一台定制手机。该手机在导入用户自行制作的人脸动作视频后,能使得所有安装在手机上的应用软件自动绕过人脸识别认证步骤。这款手机的售价为1650元。
他向记者透露,通过“你我当年”、“活照片”、“轻松换脸”等应用程序,人们能够制作出虚假的人脸动作视频。
据一家网络安全企业的高层人士向记者透露,他们得知某些企业要求员工通过人脸识别系统进行考勤签到,而一些员工便雇佣黑客侵入打卡应用,利用人脸识别系统的漏洞来替代亲自打卡,他们只需每月支付黑客30元费用。
在上述案件中,涉嫌虚开发票的嫌疑人不仅运用技术手段进行虚假发票开具,而且还通过注册新账户的手段,骗取各种App的补贴和优惠,涉及多种违法行为。
瑞莱智慧公司的高级产品经理张旭东向记者透露,目前解决人脸识别技术难题的关键在于应对活体检测环节的假体攻击,然而,对于AI算法自身所面临的对抗样本攻击的威胁,其严重性也在逐渐显现。
业界普遍采用的人脸识别技术多基于几种固定模式,彼此间的相似度较高。一旦黑客发布一款专门用于破解人脸识别系统的开源软件,并在网络上大范围传播每单低至25元!人脸识别为何这么容易被不法分子破解?,犯罪分子便可以轻易地利用这一漏洞,在众多App中实施违法犯罪活动,其行为将如同进入了一片无人之地。张旭东如是说。
新华三集团的安全专家曹亮认为,无论是抵御样本攻击还是应对活体检测中的假体攻击,其根本目标都是为了欺骗“机器视觉”。
目前的人脸识别技术主要依赖于对脸部“三点”“五点”“七点”的定位人脸识别考勤机 为啥可以做这么便宜,通过分析眼睛、鼻子、嘴巴、耳朵及头部动作来完成身份验证。黑客若能掌握系统的验证逻辑和评分标准,便有可能找到方法来规避安全措施。
抓紧查缺补漏人脸识别考勤机 为啥可以做这么便宜,还每一张脸“安全”
专家建议,需迅速查明我国政务、安全防护、金融、支付以及生活消费等关键应用软件中的潜在缺陷,并迅速进行修复,以避免可能引发严重威胁社会及财产安全的大规模事故。
进行软硬件的对抗性提升。张旭东强调,目前最紧要的任务是对那些关系到政务、安全、金融、消费等多个领域的面部识别技术存在的缺陷进行改进和更新。
特别是针对那些涉及公众、保密信息以及公共利益的平台及其技术服务提供者,必须优先加强技术防护措施,对手机模拟器实施严格防范和拒绝接入。此外,还应积极鼓励并引导更多的手机制造商在手机系统升级过程中加入3D人脸识别功能。张旭东如是表示。
在为手机系统编写代码的过程中,手机制造商能够预先嵌入安全组件人脸识别考勤机 为啥可以做这么便宜,以此手段阻止黑客通过手机摄像头的启动阶段,进而实现对摄像头的控制,确保安全防护从源头开始得到有效实施。曹亮如是表示。
确立并执行人脸识别安全规范。曹亮指出,针对关键领域应用人脸识别技术的各类产品,相关部门应当制定并严格执行相应的规范,确保产品满足安全技术的基本要求。
他提到,可以根据人脸识别技术在公共和商业领域对安全需求的多样性,设立分级别的、多层次的国家级和行业标准。
强化法律制裁,确保人脸信息安全。“涉嫌违反计算机信息系统相关法律法规的违法分子,应受到执法和司法机关的严厉打击,以形成足够的震慑。”北京格丰律师事务所的合伙人郭玉涛律师指出。他还提出,目前众多政务、金融、电子商务等平台收集了海量人脸数据,不仅存在重复建设的问题,而且潜藏着安全隐患和风险。我国在国家和省级层面上可以设立一个统一的商用安防大数据平台,通过此举可以有效遏制人脸信息被滥用和泄露等问题的发生。
人脸识别算法的提供者需确保其模型在大数据中心内部完成训练过程,确保数据和模型在物理层面上不脱离专用网络。同时,算法供应商有权租赁大数据中心的数据资源与计算能力,以实现对算法模型的升级与更新。他这样表示。
