一、人臉識別技術已被廣泛應用
近些年,隨著技術逐漸成熟,人臉識別在“互聯網+政務”領域得到瞭廣泛應用。刷臉支付對於消費者來說方便快捷,不需要掏出手機掃二維碼,告別繁瑣操作;對於商傢來說一方面滿足瞭消費者體驗需求,另一方面又可以節約人工成本。在某些特定的場所,使用人臉識別還可以快速識別黑名單人員,高效又精準。
那麼,人臉識別技術是如何實現的?
我們先做一個小科普:
人臉識別技術是基於人臉的位置、大小和面部器官的位置信息,進一步提取人臉所蘊含的身份特征,並將其與已知人臉進行比對,從而識別每個人臉的身份,基本流程可以參考下圖:
人臉識別基本流程|知乎@MaxSam
使用人臉識別,其優勢在於高效、自然、不令人反感。作為身份識別中高效且自然的方式,被廣泛應用到社會的各種現實場景,如門禁系統、電子護照/身份證、公安司法刑偵系統、自助服務與信息安全等。
但是,隨著人臉識別的不斷發展,其作為AI行業領域的一大熱門方向,在逐年擴大適用范圍的同時,其安全性如何也成為瞭人們所關註的話題。
二、“刷臉”真的安全嗎?
2019年10月28日,國內人臉識別第一次被公開討伐上瞭熱搜,一位大學教授以“保護因私”為由,把一傢使用瞭人臉識別認證系統的動物園告上瞭法庭,原因是該園在未與遊客進行任何協商亦未征得同意的情況下,將原先的指紋入園認證改為人臉識別認證。
8f334cb5944cbd5fa249adc5899ff2d8中國人臉識別第一案|新浪微博@新京報
為什麼教授的反應會那麼強烈?
- 人臉數據庫安全——現在我們在很多場景,會利用人臉識別代替指紋、密碼等方式進行認證和設備/應用解鎖,但值得註意的是,當我們授權這麼做的同時,也將我們的人臉數據和姓名、手機號、身份信息等進行瞭綁定。換句話說,當我們的人臉數據泄露,所綁定的其他信息也可能隨之被盜用。同時,當我們給廠商授予我們的人臉數據時,要是商傢不合理使用或者被不法分子竊取,其將可能引發惡意騷擾、人肉等威脅事件,甚至是實施大規模監控、定點跟蹤犯罪等惡劣行徑,而作為當事人的我們,卻渾然不知。
2f88367ba6bf21e5613248469e86652f人臉數據泄露|頭條@數據派THU
- 人臉圖像捕捉安全——現在某些手機品牌,其產品的攝像頭可以不分晝夜快速而清晰地捕捉到人臉。這既為用戶帶來方便和舒適,同時也給瞭不法之徒作案的機會,比如正在面對屏幕購買商品,確認訂單過程中還在閱讀優惠信息時,支付已經完成瞭,正是由於人臉信息瞬間就捕捉成功瞭,無感快速支付有可能成為技術監管的漏網之魚。
3134c2fc0bcdcba97f71e7329e80e9b0人臉圖像捕捉並不安全|知乎@數字好玩
- 人臉識別授權流程安全——在一些設備和應用的人臉識別授權流程中,諸如蘋果手機、某寶支付環節等,設置人臉識別功能界面時,點擊更換人臉,並不需要原設置的人臉進行刷臉,僅需開機/登錄/支付密碼即可重設人臉。這樣的操作漏洞,讓人們不能放心完全使用人臉進行所有的設備/應用保密管控,例如有身邊親近的人或者不法分子盜取瞭個人密碼賬號等,就有機會直接利用密碼去修改人臉信息,導致支付環境受到威脅甚至遭受財產損失。
三、人臉識別安全新聞案例
近日,清華大學人工智能研究院成立的RealAI團隊使用“一臺打印機、一張 A4 紙、一副眼鏡框”成功破解瞭19款安卓手機的人臉識別解鎖系統,同時還包括十餘款金融和政務服務類App。該團隊表示無論高端機或低端機,攻擊這些手機的難度幾乎沒有任何區別,全部秒級解鎖,至於如何實現解鎖,RealAI團隊表示非常簡單:
1. RealAI 團隊共選取瞭 20 款手機:1款蘋果手機,19款排名前五的國產手機,從高端機到低端機全面覆蓋。
2. 在20部手機中統一錄入同一位測試人員的人臉驗證信息。
3. 將測試人員眼睛部位的照片打印出來,通過算法在眼部區域生成幹擾圖案,再將處理後的照片貼在眼鏡框上完成對抗樣本眼鏡的制作。
4、另一位測試人員使用該“對抗樣本眼鏡”不到一秒就成功解鎖手機!
RealAI團隊解鎖示范|搜狐快訊@書圈
你以為隻是手機解鎖就結束瞭嗎?
可沒那麼簡單,該團隊還表示:“順利解鎖手機其實隻是第一步,我們通過測試發現,手機上的很多應用,包括政務類、金融類App,都可以通過對抗樣本攻擊來通過認證,甚至我們能夠假冒機主在線上完成銀行開戶,下一步就是轉賬。”
想不到智能手機的人臉識別系統如此脆弱,RealAI團隊的研究人員都覺得不可思議,同時,為瞭進一步驗證這次實驗不是巧合,清華大學的研究機構又進行瞭不同國產手機、不同人臉信息的測試,結果令人歡喜令人憂,果然跟預想中的一樣實現秒級解鎖,甚至包括手機裡的各種應用、各種數據都能被測試人員自由操作,可想而知,如果手機落入不法分子手中,還有什麼安全可言!
四、人臉識別安全應對措施
人臉識別技術現今已有大量的軟硬件設備投入,但在安全保障方面還仍有待於提升,對於日常生活中基於人臉識別技術產品的使用我們必須要提高安全意識,警惕人臉信息的濫用,畢竟在很多情況下,人臉信息可能都是在未經我們授權或被迫的情況下采集的。所以采集者是否有權采集,是否經得被采集者的授權、采集後的管理是否安全、使用是否合法等各個環節其實都應該得到確認和保護。
但僅僅是我們用戶提高警惕,謹慎授權是沒有用的,最重要的還是需要通過完善立法和強化監管,讓人臉識別技術更加規范,對於一些商業組織在征集用戶人臉信息時,應該告訴用戶使用目的和風險,並保障收集到的人臉信息不被用於其它途徑,保護用戶信息不被泄露以及濫用。
最後,涉及個人隱私、財產等重要信息的場景下,建議大傢啟用多重認證方式!!!