沒錯,“高大上”的“人臉識別”技術就這樣被一群“黑車”師傅給黑了。
以上故事是在Freebuf(國內關注度最高的全球互聯網安全媒體平台)主辦的FIT2017互聯網安全創新大會上,平安科技安全研究員高亭宇在一場“關於人臉識別技術應用風險”主題演講中的一段描述。
說完這個故事,高亭宇現場展示了那名司機用來破解“人臉識別”技術的軟件——一款可以讓照片“張口說話”的App。
高亭宇說,從那之後,他開始琢磨“人臉識別”技術在實際應用層面的風險,並調研了市面上使用“人臉識別”技術的軟件,最後的結果出乎自己的預料。
通過分析,高亭宇發現,市面上大部分使用了“人臉識別”技術的軟件,其識別流程大致相同:檢測人臉→活體檢測→人臉對比(和之前上傳的自拍照或證件照)→分析對比結果→返回結果(通過或不通過)。
據了解,其中“活體檢測”技術即在“人臉識別”時要求用戶進行眨眼、點頭、張嘴等動作,以防止靜態圖像破解,國內多個知名App中的“人臉識別”都採用了這項技術。
高亭宇說,一般的App開發者不會自己開發“人臉識別”技術,而是通過第三方的API接口或SDK組件來獲得“人臉識別”功能,基於這個特點,他對“人臉識別”技術從接入到實際使用過程中的每個關鍵點進行了分析,最終在多個環節都找到了多個突破點,只要略施小計,就能讓“人臉識別”形同虛設。比如,注入應用繞過活體檢測,也就是通過注入應用的方式來篡改程序,從而繞過所謂的活體檢測功能,使用一張靜態照片就可以通過人臉識別。
在採訪過程中,甚至有業內人士這樣表示,“不是3D打印不行,如果用一台精密的打印機,破解‘人臉識別’同樣不在話下”。
|
