9月13日凌晨,蘋果發(fā)布新品iPhone X,新功能“Face ID”尤為引人矚目。以后,無論是解鎖iPhone X還是用其進(jìn)行支付,用戶只要看一眼手機(jī)就可以了。
此前,中國農(nóng)業(yè)銀行已在貴州省貴陽市兩臺自助取款機(jī)上線“刷臉取款”,用戶站在ATM機(jī)前,看一眼攝像頭,再輸入手機(jī)號、取款金額、密碼,ATM機(jī)自動吐鈔,用戶取走現(xiàn)金。據(jù)悉,該功能將在貴陽進(jìn)行大面積覆蓋,今年年底在貴州實(shí)現(xiàn)全省覆蓋。此外,招商銀行也于2016年在全國106個城市近千臺ATM機(jī)上實(shí)現(xiàn)了“刷臉”取款。
不僅如此,多所高校在今年9月入學(xué)季嘗試了“刷臉”注冊;肯德基有餐廳上線了“刷臉”支付;“京東之家”有門店實(shí)現(xiàn)了“人即錢包”;甚至有公廁用上了人臉識別廁紙機(jī),靠臉取紙巾;更別說銀行的“刷臉”轉(zhuǎn)賬了。
一大波“刷臉”場景出現(xiàn),當(dāng)不少人沉浸在“人臉識別”的驚喜中時,也有人發(fā)出疑問:“刷臉”安全嗎?
□ 本報記者 趙 麗
□ 本報實(shí)習(xí)生 韓朝陽
“刷臉”的時代說來就來。
最近一段時間,“人臉識別”技術(shù)在各地應(yīng)用的新聞屢見不鮮。繼北京天壇公園安裝“人臉識別”廁紙機(jī)后,8月31日,廣西壯族自治區(qū)南寧市一家公園也采用了“人臉識別”廁紙機(jī);9月7日,江蘇省徐州市一家公共廁所同樣裝上了“人臉識別”廁紙機(jī)。北京市住建委9月8日表示,為解決保障房違規(guī)轉(zhuǎn)租轉(zhuǎn)借現(xiàn)象,繼去年在海淀區(qū)金隅翡麗小區(qū)推行“人臉識別”門禁系統(tǒng)試點(diǎn)基礎(chǔ)上,今年進(jìn)一步在全市所有公租房小區(qū)推廣。北京、武漢等地的火車站也開始啟用“刷臉進(jìn)站”設(shè)備。
《法制日報》記者在網(wǎng)上搜索發(fā)現(xiàn),目前在門禁、考勤等方面應(yīng)用“人臉識別”技術(shù)已經(jīng)十分廣泛。然而,任何新技術(shù)都可能是雙刃劍!昂诳萍肌痹趲砀囿@喜和便利的同時,其潛藏的安全隱患也不容忽視。
尷尬的使用體驗(yàn)
9月18日14時,《法制日報》記者來到北京市通州萬達(dá)廣場的京東之家體驗(yàn)“刷臉”支付。記者選中商品后來到支付柜臺,店員優(yōu)先推薦掃碼支付。在記者表明要體驗(yàn)“刷臉”支付后,店員勸道:“這個技術(shù)還不太成熟,步驟比較繁瑣,我們自己試了很多次,都不成功。之前也有顧客來嘗試,沒有支付成功!庇浾邎(zhí)意表示愿意嘗試后,店員才指導(dǎo)記者通過京東App掃碼開通了“刷臉”支付功能,但是最終卡在了支付頁面,無法付款。店員的電腦端也顯示記者沒有支付成功。記者隨后多次退出App程序,嘗試重啟進(jìn)入該功能,但都失敗了。
店員無奈地對記者說:“之前京東相關(guān)人員也來看過這個情況,但還是沒辦法成功‘刷臉’支付。今天人比較少,我們可以一直等您‘刷臉’支付,要是人多的時候,一直不能支付成功的話,后面的顧客就煩了!弊詈螅浾咧坏眠x擇常規(guī)的掃碼支付方式才完成此次購買。
同樣作為使用者的北京師范大學(xué)大四學(xué)生墨桑(化名),對于“刷臉”的使用感受也是一言難盡。
今年秋季學(xué)期,北京師范大學(xué)在學(xué)生公寓換裝了新的門禁系統(tǒng),“人臉識別”代替了之前的刷卡識別。更換識別系統(tǒng)后,學(xué)生進(jìn)入公寓需要對著攝像頭采集圖像,然后刷自己的學(xué)生卡,匹配之后才能進(jìn)入學(xué)生公寓。學(xué)生如果忘記帶學(xué)生卡,可以輸入學(xué)號的后四位,匹配成功也可以進(jìn)入公寓。
墨桑對《法制日報》記者說:“說是化妝或者戴眼鏡都不會有影響,但是戴眼鏡的話,在錄入時要對戴眼鏡和不戴眼鏡的圖像各錄入一遍,傳說‘親媽都認(rèn)不出來的時候,機(jī)器還能認(rèn)出來’!
在墨?磥恚绻WR別,速度還是挺快的,但并非每次都如愿!叭绻麑W(xué)生卡、學(xué)號都不能夠與圖像識別系統(tǒng)匹配,還有最后一招,就是對著那個機(jī)器大聲喊出自己的名字。第三種開啟方式讓我們很尷尬,雖然這種情況不多,但是已經(jīng)出現(xiàn)了”。
目前,北京師范大學(xué)的學(xué)生公寓有兩道門禁,第一道大門是“人臉識別”,第二道門類似地鐵站進(jìn)出閘機(jī),是刷卡識別加宿管阿姨辨別。墨桑說:“‘人臉識別’聽起來比以前安全很多,但是一個同學(xué)通過‘人臉識別’打開大門后,后面的人和以前一樣,依然可以不通過識別直接跟著進(jìn)入。尷尬的是,在以前使用刷卡識別時,如果忘記帶學(xué)生卡,第二道門無法刷卡進(jìn)入,需要到宿管阿姨那里登記才能夠進(jìn)入,F(xiàn)在,因?yàn)橛辛送饷娴摹四樧R別’,所以宿管阿姨管的就很寬松,只要從第一道門禁進(jìn)來了,宿管阿姨直接按第二道門禁的按鈕放行,不需要刷卡。不知道是不是每棟樓都一樣,這樣其實(shí)加大了外人混入公寓的風(fēng)險!
在便捷性上,墨桑說:“識別系統(tǒng)本來就只是為了提高安全性的,不是為了更方便。雖然沒有做過調(diào)查,但是聽同學(xué)說安全性反而降低了,而且現(xiàn)在出公寓也要刷卡,談不上便利。也許以后會改進(jìn),一次只放一個人進(jìn)入,不過這也太麻煩了!
“我同學(xué)普遍覺得這個系統(tǒng)很雞肋,我現(xiàn)在覺得弊大于利,可能因?yàn)閯傞_始不太適應(yīng),說不定以后會改進(jìn)!蹦Uf。
雜亂的產(chǎn)品市場
和國外的“人臉識別”技術(shù)多應(yīng)用于安防領(lǐng)域不同,在我國,“人臉識別”技術(shù)主要應(yīng)用于企業(yè)的考勤門禁、物業(yè)小區(qū)的安全防護(hù)和金融領(lǐng)域的開戶認(rèn)證等,其中金融領(lǐng)域的應(yīng)用占比較多。不過,目前比較常見的“人臉識別”技術(shù)主要出現(xiàn)在考勤機(jī)等應(yīng)用上。
《法制日報》記者以購買者的身份采訪了北京市一家專業(yè)從事“人臉識別”設(shè)備銷售的企業(yè),并現(xiàn)場測試了一臺集“門禁”“考勤”為一體的多功能考勤機(jī)。
在現(xiàn)場,記者首先進(jìn)行人臉照片錄入,主要對人臉的眼眶、鼻區(qū)以及嘴部三塊區(qū)域進(jìn)行圖像采集。錄入之后,記者站在機(jī)器前進(jìn)行識別,只要一進(jìn)入攝像頭可照范圍之內(nèi)立即就被識別成功。不過,記者摘下眼鏡或者更換眼鏡以及調(diào)整眼鏡佩戴角度后,考勤機(jī)無法識別成功。此外,用照片比對,該設(shè)備依然無法識別。
據(jù)工作人員介紹,目前“人臉識別”考勤機(jī)的價位從數(shù)百元到上萬元不等,價格越高,識別的精確度越高。記者測試的這款產(chǎn)品是最暢銷的千元機(jī),只要臉部采集到的數(shù)據(jù)能吻合到六成以上,便能認(rèn)定是同一人。不過相對而言,由于采集時拍攝下來的一些特征相對單一,所以精確度也會受到影響。
記者還在淘寶通過搜索“人臉識別考勤”聯(lián)系上一家賣“人臉識別”考勤機(jī)的店鋪,并反復(fù)詢問客服人員是否可以通過人臉的照片或者人臉視頻進(jìn)行打卡,客服都回答說不可以。在該商品的問答區(qū),也有網(wǎng)友詢問是否可以用手機(jī)上的照片或者視頻代替打卡,有一個購買過該考勤機(jī)的網(wǎng)友回答說自己試了,發(fā)現(xiàn)不可以。
記者隨后搜索“人臉識別鎖”,發(fā)現(xiàn)這類商品品牌繁多。記者聯(lián)系了銷售量排名靠前的一家商鋪。在演示視頻中,記者看到,演示者利用人臉的照片和視頻嘗試多次都無法開鎖。商家承諾稱,如果用戶在使用過程中發(fā)現(xiàn)可以用照片打開,他們會賠償1萬元。在商品的問答區(qū),已經(jīng)購買的網(wǎng)友也表示自己嘗試用照片開鎖,但沒有成功。記者詢問客服人員,這個“人臉識別”鎖的原理和蘋果新發(fā)布的iPhone X手機(jī)的Face ID是否相同?客服人員稱,他們的鎖“采用面部3D骨骼識別技術(shù),紅外掃描面部輪廓,化妝、燈光明暗、胖瘦等不會影響識別,可以開鎖!四樧R別’系統(tǒng)是取臉上很多個點(diǎn),計算各個部位的點(diǎn)的距離。這個算法與是否化妝沒有關(guān)系,不影響識別。而且,在燈光暗的情況下也能識別,因?yàn)椤四樧R別’鎖有兩個帶有夜視功能的紅外探頭,只要把臉和手掌顯示在屏幕框內(nèi),照樣可以識別開門。小朋友身高達(dá)到1.3米的都可以‘刷臉’”?头藛T說,“照片絕對打開不了這把鎖,此鎖采用是3D骨骼識別技術(shù),戴眼鏡的朋友請戴著眼鏡錄臉;瘽鈯y、發(fā)型,都能準(zhǔn)確識別。另外,如果臉部整形動了臉部三分之二的,就有可能識別不了,需要重新錄入!
那么,使用3D仿真面具是否可以騙過“人臉識別”系統(tǒng)呢?對此問題,客服人員沒有正面回答。
在問答平臺“知乎”上,一位網(wǎng)友回答了“目前人臉識別技術(shù)最大的挑戰(zhàn)是什么”這一問題,其答案獲得最高贊。這位網(wǎng)友告訴記者,淘寶上賣的“人臉識別”鎖不能保證絕對安全。記者詢問這種產(chǎn)品是否有可能被3D仿真面具欺騙?這位網(wǎng)友說,這種情況可能發(fā)生。
記者隨后在淘寶上搜索“3D面具”“乳膠面具”,發(fā)現(xiàn)這種產(chǎn)品也有不少,有的面具不僅改變了容貌,而且改變了臉部的骨骼結(jié)構(gòu),戴上之后多有以假亂真的效果。
被破解的“人臉識別”
盡管“人臉識別”產(chǎn)品的客服人員聲稱一般不易被破解,但現(xiàn)實(shí)生活中已然出現(xiàn)了破解實(shí)例。
破解“人臉識別”的實(shí)例,要從一次網(wǎng)約車經(jīng)歷說起。
一名市民通過網(wǎng)約車App下單。很快,車到了,但車輛、司機(jī)的信息均與手機(jī)客戶端上顯示的信息不符。為了趕緊回家,這名市民也顧不上太多,就直接上車了。結(jié)果,車開出去不到一分鐘,司機(jī)就扭頭對這名市民說要取消訂單。盡管這名市民一再拒絕,但司機(jī)還是堅持把她送回原處,讓她重新打出租車。
沒有辦法,這名市民只能再次用這款網(wǎng)約車軟件叫車,結(jié)果發(fā)現(xiàn)來接他的還是那名司機(jī)。司機(jī)說:“你要么就打個出租車回去,只要你還用這個軟件約車,叫到的還是我的車!
這名市民當(dāng)時就納悶了,為什么會這樣?一番打聽后,這名市民才知道,附近有一個由30多名“黑車”司機(jī)組成的車隊(duì),每名司機(jī)都有一堆虛假的司機(jī)賬號,上百個虛假賬號由同一個人來統(tǒng)一接單,然后通過電臺調(diào)度車輛去接人。因此,不管用戶打到哪個號,都會調(diào)同一名司機(jī)去接人。
了解到這些內(nèi)情,這名市民更加不解,“這個網(wǎng)約車App上明明使用了‘人臉識別’功能來驗(yàn)證司機(jī)信息,為什么這些司機(jī)可以使用虛假賬號”?經(jīng)過一番軟磨硬泡,那名司機(jī)終于透露,“人臉識別”聽起來很厲害,但是他們有軟件可以輕易破解。
沒錯,“高大上”的“人臉識別”技術(shù)就這樣被一群“黑車”師傅給黑了。
以上故事是在Freebuf(國內(nèi)關(guān)注度最高的全球互聯(lián)網(wǎng)安全媒體平臺)主辦的FIT2017互聯(lián)網(wǎng)安全創(chuàng)新大會上,平安科技安全研究員高亭宇在一場“關(guān)于人臉識別技術(shù)應(yīng)用風(fēng)險”主題演講中的一段描述。
說完這個故事,高亭宇現(xiàn)場展示了那名司機(jī)用來破解“人臉識別”技術(shù)的軟件——一款可以讓照片“張口說話”的App。
高亭宇說,從那之后,他開始琢磨“人臉識別”技術(shù)在實(shí)際應(yīng)用層面的風(fēng)險,并調(diào)研了市面上使用“人臉識別”技術(shù)的軟件,最后的結(jié)果出乎自己的預(yù)料。
通過分析,高亭宇發(fā)現(xiàn),市面上大部分使用了“人臉識別”技術(shù)的軟件,其識別流程大致相同:檢測人臉→活體檢測→人臉對比(和之前上傳的自拍照或證件照)→分析對比結(jié)果→返回結(jié)果(通過或不通過)。
據(jù)了解,其中“活體檢測”技術(shù)即在“人臉識別”時要求用戶進(jìn)行眨眼、點(diǎn)頭、張嘴等動作,以防止靜態(tài)圖像破解,國內(nèi)多個知名App中的“人臉識別”都采用了這項(xiàng)技術(shù)。
高亭宇說,一般的App開發(fā)者不會自己開發(fā)“人臉識別”技術(shù),而是通過第三方的API接口或SDK組件來獲得“人臉識別”功能,基于這個特點(diǎn),他對“人臉識別”技術(shù)從接入到實(shí)際使用過程中的每個關(guān)鍵點(diǎn)進(jìn)行了分析,最終在多個環(huán)節(jié)都找到了多個突破點(diǎn),只要略施小計,就能讓“人臉識別”形同虛設(shè)。比如,注入應(yīng)用繞過活體檢測,也就是通過注入應(yīng)用的方式來篡改程序,從而繞過所謂的活體檢測功能,使用一張靜態(tài)照片就可以通過人臉識別。
在采訪過程中,甚至有業(yè)內(nèi)人士這樣表示,“不是3D打印不行,如果用一臺精密的打印機(jī),破解‘人臉識別’同樣不在話下”。
“除了一般的考勤、賬號安全App之外,大量的銀行、P2P金融企業(yè)的App已經(jīng)介入使用了‘人臉識別’技術(shù),其中金融行業(yè)在使用‘人臉識別’技術(shù)時的安全性明顯高于一般應(yīng)用;當(dāng)‘人臉識別’技術(shù)涉及關(guān)鍵業(yè)務(wù)時,安全防護(hù)水準(zhǔn)往往更高!备咄び钫f,比如他在測試國內(nèi)某P2P金融的客戶端時,嘗試“人臉識別”解鎖失敗數(shù)次后,該App 就檢測出了可能存在惡意破解的情況,強(qiáng)制使用銀行卡信息、手機(jī)短信等其他方式來完成認(rèn)證。
高亭宇在現(xiàn)場強(qiáng)調(diào)了一點(diǎn),除了“人臉識別”技術(shù)在手機(jī)上的應(yīng)用缺陷之外,許多問題導(dǎo)致的原因都是開發(fā)者在調(diào)用第三方“人臉識別”服務(wù)時,沒有嚴(yán)格按照一個安全的規(guī)范來做,接入流程不夠嚴(yán)謹(jǐn),甚至經(jīng)常出現(xiàn)為了提高用戶體驗(yàn)而舍棄安全性的做法,這樣的做法在技術(shù)實(shí)力不強(qiáng)的小公司十分常見,最終導(dǎo)致的結(jié)果就是,讓用戶把密碼寫在了自己的臉上。
[責(zé)任編輯:張曉靜]