“刷臉”很酷，但不一定靠得住！有人只用10秒，就能破解你手機

前段時間黑客們製造了令人聞風喪膽的勒索病毒，這讓人們感到在網際網路時代，無處不在的風險。

而近日，一群用自己黑客技術來做好事的白帽黑客們卻告訴你，連長在你身上的“臉”都不再值得信任！他們用“2分半鐘破解人臉識別門禁”，“列印人臉照片10秒解鎖手機”等黑客手法，硬生生打了追捧“刷臉”概念人群的臉……

2.5分鐘破解“刷臉”門禁

列印照片10秒解鎖手機

竊取關鍵人物的指紋、虹膜、聲音(聲紋)甚至人臉資訊，突破警衛森嚴的寶庫偷天換日，這是電影大片裡的情節。

在剛剛結束的GeekPwn2017國際安全極客大賽上，白帽黑客們現場上演“諜中諜”，短短几分鐘甚至幾秒鐘就能輕鬆攻破人臉識別、虹膜識別、指紋識別等生物識別系統。

評委在一臺人臉識別門禁系統中錄入自己的臉，只有這張臉才能開啟門禁。浙江大學計算機系畢業的女黑客tyy用了不到2分30秒就成功通過了刷臉機。tyy解釋說，她通過wifi進入門禁系統，利用系統漏洞，直接獲取控制權限，修改人臉資訊，也就是把裝置中儲存的評委人臉換成了自己的臉。

圖片來源：視覺中國

更令人感到不安的是，來自百度安全實驗室的“小灰灰”和高樹鵬，用了不到10秒，就用一張列印的照片在一定光線環境下解鎖了一部手機。理論上，只要拍到一張手機主人的清晰照片就可以解鎖了。

“現場演示攻擊並不是要製造恐慌，而是通過發現漏洞，督促廠商改進技術、修復漏洞。”GeekPwn大賽發起和創辦人王琦說，大賽會將發現的漏洞反饋給廠商，讓越來越多的企業和公眾關注技術安全。

智慧化產品也有脆弱的一面

每個人只有十個指紋、兩個虹膜、一張臉，這些暴露在外的資訊一旦被破解，就是嚴重威脅。

很多公司都宣稱其人臉識別準確率超過99%，這指的是在一些世界知名人臉資料庫比對中取得的成績，但在現實運用中，這種準確度要大打折扣。人群樣本更大，不同光線、姿態、解析度等條件都可能給機器識別帶來困難。

圖片來源：視覺中國

並且在業界專家看來，這是一種技術“攻防戰”。目前很多人臉識別公司都加大了在活體檢測上的技術投入，確保系統檢測到的是一個“活人”，提高對攻擊的防禦能力。

以人臉取款為例，人臉取款採用紅外雙目攝像頭活體檢測技術，同時對臉部細微動作和微表情進行檢測，識別度遠高於手機攝像頭，假臉或者照片都不可能騙過系統。

那麼我們的隱私會否洩露呢？

對此，上海市資訊保安行業協會會長、眾人科技董事長談劍峰說：“生物特徵是唯一特徵，但這反而可能是不安全的。密碼丟失後可以設定一個新的，但有大量生物特徵資訊的伺服器一旦受到攻擊，資料庫被拿走，你不可能再有第二張臉。”

應儘快立法防止人臉“裸奔”

對於目前手機界最火的iPhoneX的刷臉功能，近日有媒體邀請了一對雙胞胎兄弟進行人臉解鎖測試。

圖片來源：蘋果官網

首先由雙胞胎中的弟弟錄入面部影象後，將手機轉交給雙胞胎哥哥後瞬時解鎖成功;同時，兄弟兩人在進行“摘眼鏡”、“戴帽子”等換裝後依舊解鎖成功。

這樣的測試正好印證了上面所說，智慧化產品也有它脆弱的一面。

不管是廠商還是消費者，都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。

從安全層面考慮，人臉識別最好跟多種驗證方式交叉使用，尤其是對安全要求極高的金融場景。比如，為了防止照片、視訊播放、3D頭套等假臉攻擊，銀行刷臉取款都同時進行人臉識別、手機號碼或身份證驗證、密碼驗證三層防護。

圖片來源：視覺中國

點點滴滴的個人隱私彙集起來就是國家資訊保安。保護使用者隱私不僅需要企業自律，更需要政府引導行業建立統一標準。最重要的是立法保護公民隱私，以及確定人臉識別等技術的使用邊界。