您当前的位置:襄阳网 > 科技发展 > 消息正文

"刷脸"支付进门过程并不顺利打车软件"人脸识别"已被破解:"人脸识别"的安全问题已经来了

2017-09-19 来源:法制日报视点     编辑:襄阳

    调查动机


    2017年9月13日凌晨,苹果发布新品iPhone X,新功能"Face ID"尤为引人瞩目.以后,无论是解锁iPhone X还是用其进行支付,用户只要看一眼?#21482;?#23601;可以了.


    此前,中国农业银行已在贵州省贵阳市?#25945;?#33258;助取款机上线"刷脸取款",用户站在ATM机前,看一眼摄像头,再输入?#21482;?#21495;、取款金额、密码,ATM机自动吐钞,用户取走现金.据悉,该功能将在贵阳进行大面积覆盖,2017年年底在贵州实现全省覆盖.此外,招商银行也于2016年在全国106个城市近千台ATM机上实现了"刷脸"取款.


    不仅如此,多所高校在2017年9月入学季尝试了"刷脸"注册;肯德基有餐厅上线了"刷脸"支付;"京东之家"有门店实现了"人即钱包";甚至有公厕用上了人脸识别厕纸机,靠脸取纸巾;更别说银行的"刷脸"转账了.


    一大波"刷脸"场景出现,当不少?#39034;两?#22312;"人脸识别"的惊喜中时,也有人发出疑问:"刷脸"安全吗?


    □ 本报记者   赵  丽


    □ 本报实习生 韩朝阳

\刷脸\支付进门过程并不顺利打车软件\人脸识别\已被破解:\人脸识别\的安全问题已经来了


    "刷脸"的时代说来就来.


    最近一?#38382;?#38388;,"人脸识别"?#38469;?#22312;各地应用的新闻屡见不鲜.继北京天坛公园安装"人脸识别"厕纸机后,8月31日,广西壮族自治区南宁市一家公园也采用了"人脸识别"厕纸机;9月7日,江苏省徐州市一家公共厕所同样装上了"人脸识别"厕纸机.北京市住建委9月8日表示,为解决保障房违规转租转借现象,继去年在海淀区金隅翡丽小区推行"人脸识别"门禁系统试点基础上,2017年进一步在全市所有公租房小区推广.北京、武汉等地的火车站?#37096;?#22987;启用"刷脸进站"设备.


    《法制日报》记者在网上搜索发现,目前在门禁、?#35760;?#31561;方面应用"人脸识别"?#38469;?#24050;经十分广泛.然而,任何新?#38469;?#37117;可能是双刃剑."黑科技"在带来更多惊喜和便利的同时,其潜藏的安全隐患也不容忽视.


    尴尬的使用体验


    9月18日14时,《法制日报》记者来到北京市通州万达广场的京东之家体验"刷脸"支付.记者选中商品后来到支付柜台,店员优先推荐扫码支付.在记者表明要体验"刷脸"支付后,店员劝道:"这个?#38469;?#36824;不太成熟,步骤比较繁琐,我?#20146;?#24049;试了很多次,都不成功.之前也有顾客来尝试,没有支付成功."记者执意表示愿意尝试后,店员才指?#25216;?#32773;通过京东App扫码开通了"刷脸"支付功能,但是最终卡在了支付页面,无法付款.店员的电脑端也显示记者没有支付成功.记者随后多次?#39034;鯝pp程序,尝试重启进入该功能,但?#38469;?#36133;了.


    店员无奈地对记者说:"之前京东相关人员也来看过这个情况,但还是没办法成功‘刷脸’支付.今天人比较少,我们可以一直等您‘刷脸’支付,要是人多的时候,一直不能支付成功的话,后面的顾客就烦了."最后,记者只得选择常规的扫码支付方式才完成此次购买.


    同样作为使用者的北京师范大学大四学生墨桑(化名),对于"刷脸"的使用感受也是一言难尽.


    2017年秋季学期,北京师范大学在学生公寓换装了新的门禁系统,"人脸识别"代替了之前的刷卡识别.更换识别系统后,学生进入公寓需要对着摄像头采集图像,然后刷自己的学生卡,匹配之后才能进入学生公寓.学生如果忘记带学生卡,可以输入学号的后四位,匹配成功也可以进入公寓.


    墨桑对《法制日报》记者说:"说是化?#34987;?#32773;戴眼镜都不会有影响,但是戴眼镜的话,在录入时要?#28304;?#30524;镜和不戴眼镜的图像各录入一遍,传说‘亲妈都认不出来的时候,机器还能认出来’."


    在墨桑看来,如果正常识别,速度还是挺快的,但并非?#30475;?#37117;如愿."如果学生卡、学号都不能够与图像识别系统匹配,还有最后一招,就是对着那个机器大声喊出自己的名字.第三种开启方式让我们很尴尬,虽然这种情况不多,但是已经出现了".


    目前,北京师范大学的学生公寓有两道门禁,第一?#26469;?#38376;是"人脸识别",第二道门类?#39057;?#38081;站进出闸机,是刷卡识别加宿管阿姨辨别.墨桑说:"‘人脸识别’听起来比以前安全很多,但是一个同学通过‘人脸识别’打开大门后,后面的人和以前一样,依然可以不通过识别直接跟着进入.尴尬的是,在以前使用刷卡识别时,如果忘记带学生卡,第二道门无法刷卡进入,需要到宿管阿姨那里登记才能够进入.现在,因为有了外面的‘人脸识别’,所以宿管阿姨管的就很宽松,只要从第一道门禁进来了,宿管阿姨直?#24433;?#31532;二道门禁的按钮放行,不需要刷卡.不知道是不是每栋楼都一样,这样其实加大了外人混入公寓的风险."


    在便捷性上,墨桑说:"识别系统本来就只是为了提高安全性的,不是为了更方便.虽然没有做过调查,但是听同学说安全性反而降低了,而且现在出公寓也要刷卡,谈不上便利.也许以后会改进,一次只放一个人进入,不过这也太麻烦了."


    "我同学普遍觉得这个系统很鸡肋,我现在觉得弊大于利,可能因为刚开始不太?#35270;?说不定以后会改进."墨桑说.


    杂乱的产品市场


    和国外的"人脸识别"?#38469;?#22810;应用于安防领域不同,在我国,"人脸识别"?#38469;?#20027;要应用于企业的?#35760;?#38376;禁、物业小区的安全防护和金融领域的开户?#29616;?#31561;,其中金融领域的应用占比较多.不过,目前比较常见的"人脸识别"?#38469;?#20027;要出现在?#35760;?#26426;等应用上.


    《法制日报》记者以购买者的身份采访了北京市一家专业从事"人脸识别"设备销售的企业,并现场测试了一台集"门禁""?#35760;?quot;为一体的多功能?#35760;?#26426;.


    在现场,记者首先进行人脸照片录入,主要对人脸的眼眶、鼻区以及嘴部三块区域进行图像采集.录入之后,记者站在机器前进行识别,只要一进入摄像头可照?#27573;?#20043;内立即就被识别成功.不过,记者摘下眼镜或者更换眼镜以及调整眼镜佩戴角度后,?#35760;?#26426;无法识别成功.此外,用照片比对,该设备依然无法识别.


    据工作人员介绍,目前"人脸识别"?#35760;?#26426;的价位从数百元到上万元不等,价格越高,识别的精确度越高.记者测试的这款产品是最畅销的千元机,只要脸部采集到的数据能吻合到六成以上,便能认定是同一人.不过相对而言,由于采集时拍摄下来的一些特征相对单一,所以精确度?#19981;?#21463;到影响.


    记者还在?#21592;?#36890;过搜索"人脸识别?#35760;?quot;联系上一家卖"人脸识别"?#35760;?#26426;的店铺,并反复询问?#22836;?#20154;员是否可以通过人脸的照片或者人脸视频进行打卡,?#22836;?#37117;回答说不可以.在该商品的问答区,也有网友询问是否可以用?#21482;?#19978;的照片或者视频代替打卡,有一个购买过该?#35760;?#26426;的网友回答说自己试了,发现不可以.


    记者随后搜索"人脸识别锁",发现这类商品品?#21697;?#22810;.记者联系了销售量排名靠前的一家商铺.在演示视频中,记者看到,演示者利用人脸的照片和视频尝试多次都无法开锁.商?#39029;信?#31216;,如果用户在使用过程中发现可以用照片打开,他们会赔偿1万元.在商品的问答区,已经购买的网友也表示自己尝试用照片开锁,但没有成功.记者询问?#22836;?#20154;员,这个"人脸识别"锁的原理和苹果新发布的iPhone X?#21482;?#30340;Face ID是否相同??#22836;?#20154;员称,他们的锁"采用面部3D骨骼识别?#38469;?红外扫描面部轮廓,化妆、灯光明暗、胖瘦等不会影响识别,可以开锁.‘人脸识别’系统是取脸上很多个点,计算各个部位的点的距离.这个算法与是否化妆没有关系,不影响识别.而且,在灯光暗的情况下也能识别,因为‘人脸识别’锁有两个带有夜视功能的红外探头,只要把脸和手掌显示在屏幕框内,照样可以识别开门.小朋友身高达到1.3米的都可以‘刷脸’".?#22836;?#20154;员说,"照片绝对打开不了这把锁,此锁采用是3D骨骼识别?#38469;?戴眼镜的朋友请戴着眼镜录脸.化浓妆、发型,都能准确识别.另外,如果脸部整形动了脸部三分之二的,就有可能识别不了,需要重新录入."


    那么,使用3D仿真面具是否可以骗过"人脸识别"系统呢??#28304;?#38382;题,?#22836;?#20154;员没有正面回答.


    在问答?#25945;?quot;知乎"上,一位网友回答了"目前人脸识别?#38469;?#26368;大的挑战是什么"这一问题,其答案获得最高赞.这位网友告诉记者,?#21592;?#19978;卖的"人脸识别"锁不能保证绝对安全.记者询问这种产品是否有可能被3D仿真面具欺骗?这位网友说,这种情况可能发生.


    记者随后在?#21592;?#19978;搜索"3D面具""乳胶面具",发现这种产品也有不少,有的面具不仅改变了容貌,而且改变了脸部的骨骼结构,戴上之后多有以假乱真的效果.


    被破解的"人脸识别"


    尽管"人脸识别"产品的?#22836;?#20154;员声称一般不易被破解,但现实生活中已然出现了破解?#36947;?


    破解"人脸识别"的?#36947;?要从一次网约车经历说起.


    一名市民通过网约车App下单.很快,车到了,但车?#23613;?#21496;机的信息均与?#21482;?#23458;户端上显示的信息不符.为了赶紧回家,这名市民也顾不上太多,就直接上车了.结果,车开出去不到一分钟,司机就扭头对这名市民说要取消订单.尽管这名市民一再拒绝,但司机还是坚持把她送回原处,让她重新打出租车.


    没有办法,这名市民只能再次用这款网约车软件叫车,结果发现来接他的还是那名司机.司机说:"你要么就打个出租车回去,只要你还用这个软件约车,叫到的还是我的车."


    这名市民当时就纳闷了,为什么会这样?一番打听后,这名市民才知道,附近有一个由30多名"黑车"司机组成的车队,每名司机都有一堆虚假的司机账号,上百个虚假账号由同一个人来统一接单,然后通过电台调度车辆去接人.因此,不管用户打到哪个号,都会调同一名司机去接人.


    了解到这些内情,这名市民更加不解,"这个网约车App上明明使用了‘人脸识别’功能来验证司机信息,为什么这些司机可以使用虚假账号"?经过一番软磨?#25165;?那名司机终于透露,"人脸识别"听起来很厉害,但是他们有软件可以轻易破解.


    没错,"高大上"的"人脸识别"?#38469;?#23601;这样被一群"黑车"师傅给黑了.


    以上?#36866;?#26159;在Freebuf(国内关注度最高的全球互联网安全?#25945;迤教?主办的FIT2017互联网安全创新大会上,平安科技安全研究员高亭宇在一场"关于人脸识别?#38469;?#24212;用风险"主题演讲中的一段描述.


    说完这个?#36866;?高亭宇现场展示了那名司机用来破解"人脸识别"?#38469;?#30340;软件——一款可以让照片"张口说话"的App.


    高亭宇说,从那之后,他开始琢磨"人脸识别"?#38469;?#22312;实?#35270;?#29992;层面的风险,并调研了市面上使用"人脸识别"?#38469;?#30340;软件,最后的结果出乎自己的预料.


    通过分析,高亭宇发现,市面上大部分使用了"人脸识别"?#38469;?#30340;软件,其识别流程大致相同:检测人脸→活体检测→人脸?#21592;?和之前上传的自拍照或证件照)→分析?#21592;?#32467;果→返回结果(通过或不通过).


    据了解,其中"活体检测"?#38469;?#21363;在"人脸识别"时要求用户进行眨眼、点头、张嘴等动作,以?#20048;?#38745;态图像破解,国内多个知名App中的"人脸识别"都采用了这项?#38469;?


    高亭宇说,一般的App开发者不会自己开发"人脸识别"?#38469;?而是通过第三方的API接口或SDK组件来获得"人脸识别"功能,基于这个特点,他对"人脸识别"?#38469;?#20174;?#23588;?#21040;实际使用过程中的每个关键点进行了分析,最终在多个环节都找到了多个突破点,只要略施小计,就能让"人脸识别"形同虚设.比如,注入应用绕过活体检测,也就是通过注入应用的方式来篡改程序,从而绕过所谓的活体检测功能,使用一张静态照片就可以通过人脸识别.


    在采访过程中,甚至有?#30340;?#20154;?#31354;?#26679;表示,"不是3D打印不行,如果用一台精密的打印机,破解‘人脸识别’同样不在话下".


    "除了一般的?#35760;凇?#36134;号安全App之外,大量的银行、P2P金融企业的App已经介入使用了‘人脸识别’?#38469;?其中金融行业在使用‘人脸识别’?#38469;?#26102;的安全性明显高于一般应用;当‘人脸识别’?#38469;?#28041;及关键业务时,安全防护水准往往更高."高亭宇说,比如他在测试国内某P2P金融的客户端时,尝试"人脸识别"解锁失败数次后,该App 就检测出了可能存在恶意破解的情况,强制使用银行卡信息、?#21482;?#30701;信等其他方式来完成?#29616;?


    高亭宇在现场?#24247;?#20102;一点,除了"人脸识别"?#38469;?#22312;?#21482;?#19978;的应用缺陷之外,许多问题导致的原因都是开发者在调用第三方"人脸识别"服务时,没有严格按照一个安全的规范来做,?#23588;?#27969;程不够严谨,甚至经常出现为了提高用户体验而舍弃安全性的做法,这样的做法在?#38469;?#23454;力不强的小公司十分常见,最终导致的结果就是,让用户把密码写在了自己的脸上.

(<"刷脸"支付进门过程并不顺利打车软件"人脸识别"已被破解:"人脸识别"的安全问题已经来了>来源法制日报视点,版权归原作者或法制日报视点所有,转载请注明原文来源出处,本文链接:http://www.zkteq.club/keji/201723415.html)

襄阳网版权及免责声明:

1、凡本网注明 “来源:***(非襄阳网)” 的作品,均转载自其它?#25945;澹?#36716;载目的在于传递更多信息,并不代表本网赞同其观点和对其真实?#24895;?#36131;。

2、如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。

有关作品版权?#20081;?#35831;联系:QQ:474560388 邮箱:[email protected]

31选7走势图带连线图