“面部识别解毒术”成为黑色产业,保护“面部”亟待调查遗漏
上海检察机关起诉公诉的同时,5亿韩元以上的虚开发票事件提起了非法人脸识别事件
记者:新华每日电讯兰天明
人脸识别作为一种易于使用的生物识别验证技术,目前在政务、安保、金融、生活消费等行业得到了广泛的应用。但是根据新华每日电讯记者的调查,人脸识别技术存在明显的安全漏洞,对社会和财产安全存在重大危险,急需进行系统的安全检查和堵塞。
发票事件导致了非法人脸识别事件。
记者从上海检察院获悉,最近上海市虹口区人民检察院公诉的超大型增值税普通发票案件中,被告人为了破解人脸识别技术等,虚开增值税普通发票,注册了“皮包公司”。据悉,多名被告人为他人缴纳增值税一般公布税共超过5亿韩元。
在案件中,犯罪嫌疑人首先通过相关政务平台完成了“皮包公司”的注册,在此过程中,通过平台对注册人进行人脸识别,成为注册成功的关键。
为了达到目的,犯罪嫌疑人中专门进行面部识别解密的成员表示,他们通常以每30韩元的价格购买别人的高清头像和身份证信息,然后使用“现场照片”应用程序处理高清头像,使照片“动”起来,制作点头、摇头、眨眼、张嘴等动作视频。
“收到视频后,使用经过特殊处理的手机“绑架”相机,在面部认证过程中手机相机无法启动,系统正在接收以前制作的视频。”说了。系统会认为本人最后一次在摄像机前获得认证。“犯罪嫌疑人说。
与此同时,该团体还破解了在管理电子营业执照应用程序中广泛使用的人脸识别系统。犯罪嫌疑人下载电子营业执照后,在应用程序中添加办事员的身份信息。虚开发票,以文员身份使用电子营业执照。
据犯罪嫌疑人称,出现裂痕的App类别涵盖了政务、安保、金融、支付、生活消费等用户数量较多的App。各订单的裂纹价格从25元到300元不等。
15分钟破解19部手机的面部识别系统
"在15分钟内破解了19部手机的面部识别系统."据记者透露,委托清华大学人工智能研究院的蒂姆赖智慧最近根据一张照片,通过研究算法制作了一副特殊的“眼镜”,可以解锁别人的手机或应用程序认证。
研究人员向记者表示,相关团队为了对抗样本攻击,戴上自制眼镜,在15分钟内破解了19台智能手机的面部识别解锁系统。同样被破解的包括十多个金融和政务服务类App。
研究人员表示,还可以结合身份证号码等个人信息,冒充机关股开设网上银行账户。
在“人脸识别技术”组中,黑客成为了“客人”。
记者发现,网络上有很多可以破解人脸识别技术服务的群体。军名大多使用“面孔”、“识别技术”等关键词来避免限制。集团人数从100人到300人不等。
在名为“人脸识别技术”的小组中,正在采取付费方式,邀请能够破解支付软件人脸识别审计的人。黑客成了人们推崇的“贵宾”。
2017年在上海举行的“国际安全与客大赛”上,来自多个国家的“极客”在脑洞大爆发的黑科技解读秀。(记者:潘旭)新华社音视频部制作
此外,有些群体还进行解密技术的资料、资源共享交流。名为“VX三色果脸”的集团自称为“破译人脸识别技术的守卫者”、“想入职的新手和小白”,在群里达到了300人。
名为“blue leaf”的用户向记者发送了应用程序面部识别安全解密视频,表示可以销售特制手机。导入自己制作的面部动作视频后,该手机上安装的所有应用程序都可以自动跳过面部身份认证过程。每部手机的价格是1650元。
他还告诉记者,虚假的面部动作视频可以使用“你和我”、“现场照片”、“容易换脸”等应用程序完成。
“我们发现,有的公司上班要办人脸识别卡,有的员工委托黑客使用入侵卡应用程序,利用人脸识别漏洞完成卡,每月只需向黑客支付30元。”一家网络保安公司的负责人向记者透露。
在上述许发市场事件中,犯罪嫌疑人除了利用破解技术从事许发市场外,还注册新账户,从事各种App补贴优惠等违法犯罪活动。
瑞士智能高级产品经理张旭东(Zhang Xudong)对记者说,虽然目前人脸识别技术主要是针对生物传感的假体攻击,但对AI算法本身的对抗样本攻击威胁也越来越明显。
“业界的人脸识别技术主要是几种固定方法,所以相似度很高。黑客提供可以破解人脸识别的开源软件,通过网络广泛传播,犯罪分子就会利用漏洞非法实施各种应用程序。
犯罪将犹如‘入无人之境’。”张旭东说。在新华三集团安全专家曹亮看来,无论是对抗样本攻击还是针对活体检测的假体攻击,最终目的都是为了骗过“机器眼”。
“当前人脸识别算法大都是人脸上‘三点’‘五点’‘七点’的识别,通过对眼睛、鼻子、嘴、耳朵以及头部活动来实现认证。黑客完全可以通过了解机器内部验证机制和评判规则,再想办法绕过安全防护。”他说。
抓紧查缺补漏,还每一张脸“安全”
专家认为,应尽快排摸国内政务、安防、金融、支付、生活消费等领域的核心App应用存在的相关漏洞,并及时打上补丁,以防发生危害社会安全和财产安全的重大事件。
开展软硬件“对攻升级”。张旭东表示,当务之急应对涉及政务、安防、金融、消费等行业的人脸识别技术漏洞进行完善和升级。
“尤其是对于涉众、涉密、涉及公共利益的相关平台和技术服务提供商,需优先完成技术加固,对手机模拟器要做好防范和拒绝。同时,鼓励和引导更多手机厂商在手机升级时支持3D人脸识别技术。”张旭东说。
“手机厂商在写入手机系统时可内置安全模块,防止黑客绕过手机摄像头启动环节、对摄像头实现劫持,从源头上实现安全守护。”曹亮说。
制定落实人脸识别安全标准。曹亮表示,对核心领域使用人脸识别技术的产品,监管部门可制定并严格实施相关标准,保证产品符合安全技术要求。
“可依据人脸识别在公共或商业应用中对安全的差异化需求,制定分级别、多层次的国家安全标准及行业安全标准。”他说。
加强司法打击,保护每一张“脸”。“违法者可能涉嫌破坏计算机信息系统罪,执法和司法机关应当加强打击力度,形成威慑力。”北京格丰律师事务所合伙人郭玉涛律师说。他建议,当前各大政务、金融、电商等平台都搜集了大量的人脸数据,既存在重复建设的问题,更存在安全隐患和风险。国家和省级层面可建立统一的商用安防大数据中心,以此达到防止人脸信息的滥用、外泄等问题。
“可要求人脸识别算法供应商的模型须在大数据中心内进行训练,实现数据、模型物理上不出专网。算法供应商可租用大数据中心的数据和计算力进行算法模型的升级和更新。”他说。
来源:新华每日电讯
