![从抖音“吗咿呀嘿”到社区门禁,人脸识别真的安全吗]( "从抖音“吗咿呀嘿”到社区门禁,人脸识别真的安全吗")
伴随着歌曲《不怕不怕》的鬼畜旋律,抖音上“吗咿呀嘿”摇头视频获得了病毒式的传播;换脸软件Avatarify从一夜之间冲上苹果App Store免费榜冠军到3月2日在中国区被下架时,短短七天时间,仅仅在抖音平台该类视频全球播放量就直逼30亿次。
视频制作的形式很简单,在Avatarify软件上上传一张静态的人像照片,选择相应模板,软件就能通过AI算法自动生成一段自带洗脑音乐的抖音短视频。
如上所述,视频制作流程基本属于傻瓜模式,所以一经发布就基本进入到了全网摇头模式。一时间,一切有“脸”的生物或者非生物都快被网友玩坏了,无论是迪士尼公主、互联网巨头CEO,还是唐僧师徒、还珠格格,都难逃被AI换脸后随“蚂蚁呀嘿”扭动的命运。
但仅短短几天,因被质疑含有能突破现有人脸识别系统的技术,Avatarify就被紧急下架。研究团队表示其中包含的技术已经能够绕过一些低端设备的识别系统,对人们生物信息安全造成一定的威胁,并且如遭遇大规模的黑客攻击,成千上万人脸模型数据被盗甚至会对社会治理以及金融系统秩序造成毁灭性的影响。
Avatarify的爆红与下架,也让AI换脸背后的信息安全争议再度引发关注。
如今,征信、借贷、支付、社交等等诸多领域都涉及面部识别,不敢想象原本作为网络世界密码的面部信息变为不法分子的面罩。一个正要乘坐飞机或高铁的普通人或许因为面部信息泄露而被通知自己变成了老赖或是诈骗犯...
同样的,作为面部系统采集与储存端的社区智能人脸识别门禁系统也存在相当高的信息安全风险。随着社区智能化水平的提升,居民对于社区门禁的安全性、便捷性有了更高的要求。而现实社区人流量非常大,亲戚朋友、快递员、送货员、外卖小哥等,人员出入小区十分频繁。
由于人员流动巨大、管理人员缺乏等因素,导致物业供给方的人员成本太高,工作效率低下。此外,居民的出入卡容易丢失、指纹容易被盗、密码容易泄露等问题长期以来都没有得到有效的解决。特别是在疫情爆发后,社区对进出人员身份和生物信息识别需求十分巨大,一些主打AI、物联网、智能科学技术、云服务概念的门禁系统便大行其道,甚至存在一些社区强制录入居民面部模型、指纹等隐私信息的情况。
人脸识别门禁系统主要依靠SID服务器、视频采集器、数据服务器、门禁管理服务器组成的管理后台云端,在未通过严格渗透测试的情况下,每个服务器都存在被攻击的风险。
而在手机移动端,门禁功能一般收纳于社区APP中,社区APP也作为居民人脸信息采集渠道,然而此类APP一般不具有人脸识别功能,一般通过第三方API或SDK组件来获取人脸识别功能。
这使得包含了人脸检测、活体检测、人脸对比、云端控制等诸多环节的识别流程极易暴露在信息安全风险中,上述每一个关键环节只要黑客们略施小计都能成为盗取生物信息的突破口。
如注入应用或视频攻击绕过活体检测,三维建模被验证过也能通过一些社区的云端检测,部分APP在上传居民脸部模型时未对人脸数据进行签名导致数据包可以轻易被工具截获甚至篡改,而有的未加入时间戳的数据报文,可以通过重放数据报文的方式来实施破解,破解后被篡改的数据只需达到云端人脸匹配度阈值就可以欺骗云端系统,更有甚者,在盗取居民生物信息的同时直接修改匹配阈值使得整个识别系统崩溃。
人脸、指纹等生物信息之所以被常常用来作为验证信息是因为其现实中的唯一可查性,但也正因如此人脸、指纹等生物信息包外泄的后果十分严重,风险极大。例如社区居民的支付宝或者微信支付绑定了人脸识别,那么人脸识别信息被攻击者采集走后,财产安全会直接受损。
不仅如此,支付密码泄露可以更改,而人脸、指纹等唯一可查的生物信息是不能改变的,一经外泄被恶意使用,则所有使用过生物信息安全验证的数据和财产都将失守。
科技本无罪,给我们带来了许多生活便捷。但失去法律的约束和必要的网络安全安保措施,人们的面部数据等生物识别信息或将毫无安全可言。
参考
【1】花式破解人脸识别技术的5种方法
https://blog.csdn.net/u011001084/article/details/55255335
本文始发于微信公众号(知道创宇):从抖音“吗咿呀嘿”到社区门禁,人脸识别真的安全吗
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/293579.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论