首页 > 梆梆资讯 > 315关注谁在偷你的脸?人脸识别面临系统性风险

315关注谁在偷你的脸?人脸识别面临系统性风险

2021-03-16 梆梆观点1874

在一年一度的央视315晚会上,不法商家非法获取消费者人脸信息,并肆意滥用的行为被曝光。很少有消费者能想到,自己在进入店门的那一刻,最先“盯上”自己的不是服务员或者导购,而是配备了人脸识别技术的摄像头,并将自己的人脸信息牢牢记下储存起来,而这一切,都是在自己毫不知情的情况下发生的。

人脸信息作为不可再生、不可更改的个人生物信息,比身份证、密码等信息显得更为机密和宝贵。然而,在现实生活中,人脸的随意采集导致个人生物信息泄露风险正在迅速增加。目前国家虽然明确规定了人脸信息属于个人生物识别信息,同时也属于个人敏感信息,其采集过程必须明确获得个人信息主体的授权同意,但在实际操作过程中,人脸信息采集的随意性仍然非常普遍。

人脸识别广泛应用加剧信息泄露风险

目前越来越多的企业将人脸用到各种各样的场景:人脸签到、人脸登录、人脸转账、人脸查询、人脸找回密码......,人脸认证正在以爆发式增长的速度在虚拟世界代替真人。而近年来数字化转型的进程加快,企业正在将大量的线下业务向线上迁移,在这个过程中,对于人脸识别技术的运用快速增长。

目前各个企业都在使用生物识别技术为业务和安全赋能,而人脸作为使用度最广泛的生物识别技术,各个企业自身都采集和存储了大量的公民人脸信息。这些信息的安全全都依赖于企业自身的信息安全管理和技术水平,很多企业在数据泄露方面的信息安全保护措施极度有限,今年来数据泄露事件发生的案例不在少数。

随着中国数字化经济转型的不断发展,政府、金融、医疗、运营商、互联网等各行业线下业务都在线上化,如线上办理社保业务、线上办理银行开卡业务、线上办理SIM卡开卡、线上挂号就诊查询报告,这些不同行业的业务发展都将人脸识别作为一个重要的认证鉴权方式。人脸认证、人脸转账、人脸登录、人脸查询信息、人脸找回密码正在成为越来越多的企业业务中的关键安全措施。


人脸识别攻击方式成熟引发系统性安全风险

人脸识别的攻击链重点是两个环节:如何获取被攻击者人脸,如何绕过企业的人脸校验。在这两个环节中,获取被攻击者人脸信息现在已经非常方便:身份证照片、简历照片、企业数据泄露等各种途径五花八门。在如何绕过企业的人脸校验上,近两年来攻击方式及工具越发成熟:3D打印、面具攻击、算法攻击、前端造假、摄像头劫持......针对人脸技术的攻防一直在不断的迭代升级。

人脸攻击成本正在进一步降低,从近年来梆梆安全处理过的人脸攻击绕过案例来看,从攻击面上来分,可以分为三类:

前端绕过技术类攻击

由于目前移动APP端的人脸识别模式基本为前端活体检测,后端人脸比对,暨APP端认证是否是活人,认证完毕后采集照片到服务端比对是否是本人,前端绕过技术类的攻击方式由于其具有高度的可复用性,逐渐成为各类黑灰产的常用手段,前端绕过技术类的攻击常见于以下四种:

1、传输层抓包:

攻击方式:在数据传输过程中进行抓包,将照片替换成为攻击者指定的照片;

攻击难度:☆☆☆    攻击复用度:☆☆      监测难度:☆☆

2、应用函数劫持:

攻击方式:对APP内部的关键函数调用关系进行HOOK劫持,做完活体检测后,在数据包发送之前进行照片替换,换为攻击者指定照片;

攻击难度:☆☆☆       攻击复用度:☆☆☆      监测难度:☆☆☆☆

3、系统函数劫持:

攻击方式:APP人脸识别SDK模块调用系统摄像头API接口过程中被劫持,从本地选择照片或视频传入;

攻击难度:☆☆☆☆       攻击复用度:☆☆☆☆     监测难度:☆☆☆  

4、底层摄像头驱动篡改(定制ROM):

攻击方式:篡改底层摄像头驱动,重新定制一个攻击ROM,彻底从代码层改变执行逻辑,不执行拍照过程,采用已拍好照片或视频;

攻击难度:☆☆☆☆☆   攻击复用度:☆☆☆☆☆   监测难度:☆☆☆☆☆ 

生物模拟类攻击

这类攻击主要使用3D打印、高分辨率面具等技术,用实物模拟被攻击者的人脸特征信息,这类的攻击成本较高,攻击复用度较差且攻击成本较高。同时攻击防御也是今年来各类人脸识别厂商对抗的重点,通过升级活体检测算法来进一步的提升对抗难度,较为有效。

算法对抗类攻击

人脸识别比对算法本质上是一个机器学习算法通过大量训练优化后的算法,每个公司的人脸识别算法均尤其特殊性,业内一些顶尖的机器学习及人工智能团队也发布了一些人脸对抗攻击模型,通过模型可以生成一个对抗样本(如特殊眼镜),攻击者带着这种特殊眼镜,就能成功欺骗后端的算法模型。然而这种方式具有极高的技术门槛,其复用性也较差,目前使用并不普遍。

规范使用“人脸识别”,把隐私与安全还给消费者

人脸识别作为生物识别中使用最为广泛的一种,如果能够安全使用,能够为各方带来更为安全、便捷的使用体验。梆梆安全认为,人脸识别作为公民个人敏感信息,其使用范围广、不可更改性强,社会各方均应重视并发挥自身的作用,确保人脸识别的安全使用。

一、 国家及行业监管

短期来看,尽快出台更为细则的人脸识别使用规范,从信息采集、传输、存储、使用、销毁等各个环节指明企业使用人脸识别的责任和义务,制定行业标准并进行合规监管监察。

长期来看,人脸信息作为全民的基础生物信息,其不可更换性决定了这个信息甚至比公民身份证信息更为关键和机密,国家或行业组织机构建立人脸识别基础平台,用于采集、存储公民生物信息,对外提供各类服务可能是彻底解决人脸识别安全的根本路径。

二、 人脸识别使用企业

各企业在使用人脸的过程中,应当重视隐私合规要求,尽到告知义务;并进行充分的技术和管理措施用于保护人脸识别的安全性;同时,高度重视人脸数据的使用和存储安全,避免由于自身企业安全防护措施不当导致的用户敏感信息泄露和账户资金损失。

三、 人脸识别服务提供商

人脸识别服务提供商在实现商业目标的过程中,应该高度重视隐私合规要求,及算法安全强度。对于提供SAAS服务的人脸识别服务提供商,公民的人脸基础数据使用、存储、销毁等应该依法合规,避免出现系统性数据泄露风险。

 

在人脸识别安全方面,梆梆安全从人脸业务逻辑的实现、开发、发布、运营等全生命周期过程提供了全套的安全解决方案,通过安全咨询确保人脸业务数据采集、传输、存储、使用等环节的安全合规,通过安全测试确保人脸业务逻辑不存在业务漏洞,通过代码加密保护和通信协议保护,提升人脸协议和数据破解篡改的攻击门槛,通过安全监测与业务系统的联动解决应用运行过程中出现的前端技术类攻击行为。

国家“十四五”规划和二〇三五年远景目标纲明确指出,十四五期间要适应数字技术全面融入社会交往和日常生活新趋势,促进公共服务和社会运行方式创新,构筑全民畅享的数字生活。在这个过程中,人脸认证作为一个基础技术组件,扮演着重要的作用,也必将使用的越来越广泛。梆梆安全坚守“成为全球安全服务领跑者”愿景,勇担“保护智能生活”使命,始终以客户为中心,通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境。

  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >