日前，央视新闻报道了一起发生在陕西西安的“AI换脸”诈骗案例：西安一家公司的财务人员张女士与”老板“视频通话后，按照”老板“要求转账 186 万元到指定账户，将电子凭证发到公司财务内部群，群里的老板却向她询问这笔资金的来由，并表示没有发起过视频通话。意识到被骗的张女士连忙报警求助，最终保住了大部分被骗资金 156 万元。

近年来，人脸识别技术因高效便捷被广泛使用，由此带来的个人信息及财产安全问题日益凸显，对于人脸识别安全隐患的担忧也从未停止。人脸识别的边界在哪？人脸识别的核心攻击点在哪？如何防范”假脸“蒙混过关？

探寻：人脸识别的边界在哪？

为实现隐私、安全和便利三者的平衡，国家密集出台人脸识别领域相关法律法规，将人脸信息的安全放在更重要位置：

相关法律：

《民法典》、《网络安全法》、《数据安全法》、《个人信息保护法》    

相关司法解释：

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

部门规范性文件：

《网络数据安全管理条例》

《金融APP人脸识别线上身份认证安全能力要求》

《人脸识别技术应用安全管理规定（试行）（征求意见稿）》

相关国家标准：

《GB/T 35273-2020信息安全技术 个人信息安全规范》

《GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求》《GB∕T 40660-2021 信息安全技术 生物特征识别信息保护基本要求》《GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》

相关行业标准与团体标准：

《GA/T 1470-2018 安全防范人脸识别应用分类》

《TTAF 077.7-2020 APP收集使用个人信息最小必要评估规范 人脸信息》

《JR/T 0171—2020 个人金融信息保护技术规范》

揭秘：人脸识别攻击的技术路径

人脸认证是否为本人交易的技术表现形式：APP通过人脸识别结合本人身份证信息进行比对，验证是否为本人。当客户端可信环境极易被破坏时，数据采集、数据传输过程中就无法得到真实、可靠的人脸数据，攻击者便能将照片”活化“成带有眨眼、张嘴、点头等动作的视频蒙骗系统，致使后端服务器被欺骗。

常见的人脸识别绕过攻击手段有：内核层替换、系统层替换、APP内存数据替换、流量层替换、业务逻辑漏洞利用等，攻击者通过破坏信任链，利用图像采集技术路径上的所有节点尝试攻击，从而实现人脸识别欺骗。

解密：梆梆安全助您一一击破“假脸”

魔高一尺，道高一丈。人脸识别安全建设需要更强大的监测算法来抵御恶意攻击。作为中国信息通信研究院云计算与大数据研究所“可信人脸识别守护计划”首批成员单位，梆梆安全结合近年来人脸识别信息泄露等安全事件的实践，率先实现对人脸识别绕过等安全风险的监测并将其落地，并推出“独家秘籍”——人脸识别业务安全防护解决方案，有效实现风险感知及防御。

01

人脸识别专项安全评估

对App人脸识别绕过风险进行完整性评估，防止应用“带病”上线，评估内容包括：

• 评估是否满足行业标准对于人脸识别的安全要求

• 评估应用的基础防护措施是否存在缺陷

• 评估安全设计上的业务逻辑漏洞是否存在缺陷

• 评估是否能在系统内核层、系统服务层、应用层、以及数据传输层等人脸数据采集的关键节点上实现人脸数据篡改和替换，进而绕过人脸识别

02

APP安全加固+通信协议保护SDK

• 通过应用加固，保证应用核心业务代码，防止应用破解，暴露业务逻辑

• 通过通信协议保护SDK保证传输数据的安全，防止数据被抓包篡改，提高应用攻击门槛

03

移动应用安全监测平台

（1）App运行过程风险监测及阻断

• 实时监测应用运行时的安全状况，对调试注入以及数据劫持等攻击第一时间感知

• 当出现攻击事件时可第一时间阻断业务功能

（2）攻击事件溯源

• 对监测到的攻击详情进行记录，追根溯源，准确定位目标账号

• 对风险账号或设备能够通过关联分析找到相关联的危险设备及账号

截至目前，梆梆安全已经为金融、政府、运营商等行业客户提供人脸识别业务安全防护一站式解决方案。通过代码加密和通信协议的保护，提升人脸协议和数据破解篡改的攻击门槛，利用安全监测与业务系统的联动，解决应用运行过程中出现的前端技术类攻击行为。

新型攻击不断出现，人脸识别技术在各场景应用中面临的安全形势依旧严峻，梆梆安全将继续秉承“保护您的软件”使命，在人脸识别领域持续加大研发投入，以更好地感知和应对新型攻击手段带来的威胁，有针对性地提升安全防护能力，建立更加安全可信的数字环境。

推荐阅读

Recommended

>全面护航移动APP安全！梆梆安全深度参编《中国互联网站与移动应用现状及其安全报告（2023）》

>API 安全专题（14）| 为什么下一代WAF解决不了API的新威胁？

>“互联网+”时代，梆梆安全助力社保行业移动端安全建设

原文始发于微信公众号（梆梆安全）：洞见安全 | 央视报道“AI换脸”安全事件，人脸识别攻击怎么防？