安全人设崩塌！GeekPwn90后女黑客秒破人脸识别系统

人脸识别安全人设崩塌，黑客“套路”究竟有多深？在GeekPwn2017国际安全极客大赛上，毕业于浙江大学计算机专业的90后女黑客“tyy”就演示了人脸识别设备的漏洞。通过利用设备本身存在的漏洞，选手仅用时两分半钟，就成功实现了用任意人脸通过门禁系统。

2017年10月24日，GeekPwn2017国际安全极客大赛在上海举办，黄健翔为主持人，来自全球的顶级黑客用“无所不Pwn”的脑洞，为全球安全技术爱好者带来了一场登峰造极的技术盛宴。

如今“刷脸”已经成了人们生活中必不可少的一件日常事务，从移动支付、解锁手机，到公司、学校、小区门禁，甚至火车站乘车、公园领取厕纸都运用到了人脸识别技术。但是用上了高科技，难道真的可以“高枕无忧”了吗？当机器通过看脸就认出你是谁，别人就不能假冒你了吗？

对此，“tyy”在现场介绍到，人脸识别系统并不是万无一失。利用设备漏洞，攻击者就可以直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，打开门禁。这是“tyy”第二次来到GeekPwn的舞台，在今年5月GeekPwn年中赛上，她就展示了四款共享单车品牌的高危漏洞。谈及二度参加比赛的初衷，“tyy”表示：“好奇心让我决定开始研究新的领域，理智告诉我一定要带着漏洞GeekPwn。”

观察者网专栏作者挠米成告诉编辑，由于“刷脸支付”主要通过手机拍照后进行数据传输。在传输过程中，也有可能受到黑客、病毒等攻击，人脸信息在系统后台服务器解析过程中，解析结果同样可以被篡改盗。如果“刷脸支付”被各家企业广泛使用，那么各企业参差不齐的技术实力，使得人脸信息泄漏的风险直线上升。

挠米成分析，从技术层面看，不管是人脸、指纹、声音还是虹膜，这些人类的生物特征都不适合作为远程身份验证的安全密钥，因为它们太容易被仿造了。无论你拥有的是志玲姐姐的脸还是凤姐的脸，虽然在你自己看来这是独一无二的物理特征，不可能被仿造被复制，但是对于计算机而言，这些特征就是一串0和1组成的数字，或者说，是一串密码。

作为全球首个探索人工智能与专业安全的前沿平台，2017年，GeekPwn创新性的推出“人工智能安全挑战赛”、“AI仿声验声攻防赛”、“Industrial CTF（工控攻防夺旗赛）决赛”以及“无规则智能生活Pwn”等四大挑战项目，数十位国内外顶级白帽黑客同场炫技，带来众多脑洞大开的破解演示。