图为瑞莱智慧团队研究人员用一副特制眼镜攻破了手机人脸识别系统。 受访者供图
一起发票案牵出非法人脸识别案
案件中,犯罪嫌疑人首先通过相关政务平台完成注册“皮包公司”,过程中通过平台上注册人的人脸识别是注册成功的关键环节。
为达到目的,犯罪嫌疑人中专门从事人脸识别破解的成员表示,其一般先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”App对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频。
“获取视频后,我们利用特殊处理的手机‘劫持’摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证。”犯罪嫌疑人说。
同时,该团伙还破解了某广泛用于管理电子营业执照App的人脸识别系统。犯罪嫌疑人下载电子营业执照后,会在App里添加办事员的身份信息。虚开发票团伙就以此通过办事员身份使用电子营业执照。
据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。
图为瑞莱智慧团队研究人员用一副特制眼镜攻破了手机人脸识别系统。 受访者供图
15分钟破解19款手机的人脸识别系统
研究人员表示,结合身份证 等个人信息,甚至可冒充机主完成线上银行开户。
“过脸识别技术”群里,黑客成“贵客”
此外,有的群则是对破解技术进行资料、资源分享交流。一个名为“VX三色过脸”的群自称“破解人脸识别技术的扛把子”“适合想入行的新手和小白”,群内多达300人。
在上述虚开发票案中,犯罪嫌疑人除了利用破解技术从事虚开发票外,还会利用注册新账 从事骗取各类App补贴优惠等违法犯罪。
“由于业界的人脸识别技术主要是固定几个方法,相似度很高。如果黑客提供一个专用于破解人脸识别的开源软件,并在互联 上广泛流传,犯罪分子利用漏洞进行各类App实施违法犯罪将犹如‘入无人之境’。”张旭东说。
在新华三集团安全专家曹亮看来,无论是对抗样本攻击还是针对活体检测的假体攻击,最终目的都是为了骗过“机器眼”。
“当前人脸识别算法大都是人脸上‘三点’‘五点’‘七点’的识别,通过对眼睛、鼻子、嘴、耳朵以及头部活动来实现认证。黑客完全可以通过了解机器内部验证机制和评判规则,再想办法绕过安全防护。”他说。
抓紧查缺补漏,还每一张脸“安全”
专家认为,应尽快排摸国内政务、安防、金融、支付、生活消费等领域的核心App应用存在的相关漏洞,并及时打上补丁,以防发生危害 会安全和财产安全的重大事件。
开展软硬件“对攻升级”。张旭东表示,当务之急应对涉及政务、安防、金融、消费等行业的人脸识别技术漏洞进行完善和升级。
“尤其是对于涉众、涉密、涉及公共利益的相关平台和技术服务提供商,需优先完成技术加固,对手机模拟器要做好防范和拒绝。同时,鼓励和引导更多手机厂商在手机升级时支持3D人脸识别技术。”张旭东说。
“手机厂商在写入手机系统时可内置安全模块,防止黑客绕过手机摄像头启动环节、对摄像头实现劫持,从源头上实现安全守护。”曹亮说。
制定落实人脸识别安全标准。曹亮表示,对核心领域使用人脸识别技术的产品,监管部门可制定并严格实施相关标准,保证产品符合安全技术要求。
“可依据人脸识别在公共或商业应用中对安全的差异化需求,制定分级别、多层次的国家安全标准及行业安全标准。”他说。
加强司法打击,保护每一张“脸”。“违法者可能涉嫌破坏计算机信息系统罪,执法和司法机关应当加强打击力度,形成威慑力。”北京格丰律师事务所合伙人郭玉涛律师说。他建议,当前各大政务、金融、电商等平台都搜集了大量的人脸数据,既存在重复建设的问题,更存在安全隐患和风险。国家和省级层面可建立统一的商用安防大数据中心,以此达到防止人脸信息的滥用、外泄等问题。
“可要求人脸识别算法供应商的模型须在大数据中心内进行训练,实现数据、模型物理上不出专 。算法供应商可租用大数据中心的数据和计算力进行算法模型的升级和更新。”他说。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!