雜亂的產(chǎn)品市場(chǎng)

　　和國(guó)外的“人臉識(shí)別”技術(shù)多應(yīng)用于安防領(lǐng)域不同，在我國(guó)，“人臉識(shí)別”技術(shù)主要應(yīng)用于企業(yè)的考勤門禁、物業(yè)小區(qū)的安全防護(hù)和金融領(lǐng)域的開(kāi)戶認(rèn)證等，其中金融領(lǐng)域的應(yīng)用占比較多。不過(guò)，目前比較常見(jiàn)的“人臉識(shí)別”技術(shù)主要出現(xiàn)在考勤機(jī)等應(yīng)用上。

　　《法制日?qǐng)?bào)》記者以購(gòu)買者的身份采訪了北京市一家專業(yè)從事“人臉識(shí)別”設(shè)備銷售的企業(yè)，并現(xiàn)場(chǎng)測(cè)試了一臺(tái)集“門禁”“考勤”為一體的多功能考勤機(jī)。

　　在現(xiàn)場(chǎng)，記者首先進(jìn)行人臉照片錄入，主要對(duì)人臉的眼眶、鼻區(qū)以及嘴部三塊區(qū)域進(jìn)行圖像采集。錄入之后，記者站在機(jī)器前進(jìn)行識(shí)別，只要一進(jìn)入攝像頭可照范圍之內(nèi)立即就被識(shí)別成功。不過(guò)，記者摘下眼鏡或者更換眼鏡以及調(diào)整眼鏡佩戴角度后，考勤機(jī)無(wú)法識(shí)別成功。此外，用照片比對(duì)，該設(shè)備依然無(wú)法識(shí)別。

　　據(jù)工作人員介紹，目前“人臉識(shí)別”考勤機(jī)的價(jià)位從數(shù)百元到上萬(wàn)元不等，價(jià)格越高，識(shí)別的精確度越高。記者測(cè)試的這款產(chǎn)品是最暢銷的千元機(jī)，只要臉部采集到的數(shù)據(jù)能吻合到六成以上，便能認(rèn)定是同一人。不過(guò)相對(duì)而言，由于采集時(shí)拍攝下來(lái)的一些特征相對(duì)單一，所以精確度也會(huì)受到影響。

　　記者還在淘寶通過(guò)搜索“人臉識(shí)別考勤”聯(lián)系上一家賣“人臉識(shí)別”考勤機(jī)的店鋪，并反復(fù)詢問(wèn)客服人員是否可以通過(guò)人臉的照片或者人臉視頻進(jìn)行打卡，客服都回答說(shuō)不可以。在該商品的問(wèn)答區(qū)，也有網(wǎng)友詢問(wèn)是否可以用手機(jī)上的照片或者視頻代替打卡，有一個(gè)購(gòu)買過(guò)該考勤機(jī)的網(wǎng)友回答說(shuō)自己試了，發(fā)現(xiàn)不可以。

　　記者隨后搜索“人臉識(shí)別鎖”，發(fā)現(xiàn)這類商品品牌繁多。記者聯(lián)系了銷售量排名靠前的一家商鋪。在演示視頻中，記者看到，演示者利用人臉的照片和視頻嘗試多次都無(wú)法開(kāi)鎖。商家承諾稱，如果用戶在使用過(guò)程中發(fā)現(xiàn)可以用照片打開(kāi)，他們會(huì)賠償1萬(wàn)元。在商品的問(wèn)答區(qū)，已經(jīng)購(gòu)買的網(wǎng)友也表示自己嘗試用照片開(kāi)鎖，但沒(méi)有成功。記者詢問(wèn)客服人員，這個(gè)“人臉識(shí)別”鎖的原理和蘋果新發(fā)布的iPhone　X手機(jī)的Face　ID是否相同？客服人員稱，他們的鎖“采用面部3D骨骼識(shí)別技術(shù)，紅外掃描面部輪廓，化妝、燈光明暗、胖瘦等不會(huì)影響識(shí)別，可以開(kāi)鎖。‘人臉識(shí)別’系統(tǒng)是取臉上很多個(gè)點(diǎn)，計(jì)算各個(gè)部位的點(diǎn)的距離。這個(gè)算法與是否化妝沒(méi)有關(guān)系，不影響識(shí)別。而且，在燈光暗的情況下也能識(shí)別，因?yàn)?lsquo;人臉識(shí)別’鎖有兩個(gè)帶有夜視功能的紅外探頭，只要把臉和手掌顯示在屏幕框內(nèi)，照樣可以識(shí)別開(kāi)門。小朋友身高達(dá)到1.3米的都可以‘刷臉’”?？头藛T說(shuō)，“照片絕對(duì)打開(kāi)不了這把鎖，此鎖采用是3D骨骼識(shí)別技術(shù)，戴眼鏡的朋友請(qǐng)戴著眼鏡錄臉?；瘽鈯y、發(fā)型，都能準(zhǔn)確識(shí)別。另外，如果臉部整形動(dòng)了臉部三分之二的，就有可能識(shí)別不了，需要重新錄入。”

　　那么，使用3D仿真面具是否可以騙過(guò)“人臉識(shí)別”系統(tǒng)呢？對(duì)此問(wèn)題，客服人員沒(méi)有正面回答。

　　在問(wèn)答平臺(tái)“知乎”上，一位網(wǎng)友回答了“目前人臉識(shí)別技術(shù)最大的挑戰(zhàn)是什么”這一問(wèn)題，其答案獲得最高贊。這位網(wǎng)友告訴記者，淘寶上賣的“人臉識(shí)別”鎖不能保證絕對(duì)安全。記者詢問(wèn)這種產(chǎn)品是否有可能被3D仿真面具欺騙？這位網(wǎng)友說(shuō)，這種情況可能發(fā)生。

　　記者隨后在淘寶上搜索“3D面具”“乳膠面具”，發(fā)現(xiàn)這種產(chǎn)品也有不少，有的面具不僅改變了容貌，而且改變了臉部的骨骼結(jié)構(gòu)，戴上之后多有以假亂真的效果。

　　被破解的“人臉識(shí)別”

　　盡管“人臉識(shí)別”產(chǎn)品的客服人員聲稱一般不易被破解，但現(xiàn)實(shí)生活中已然出現(xiàn)了破解實(shí)例。

　　破解“人臉識(shí)別”的實(shí)例，要從一次網(wǎng)約車經(jīng)歷說(shuō)起。

　　一名市民通過(guò)網(wǎng)約車App下單。很快，車到了，但車輛、司機(jī)的信息均與手機(jī)客戶端上顯示的信息不符。為了趕緊回家，這名市民也顧不上太多，就直接上車了。結(jié)果，車開(kāi)出去不到一分鐘，司機(jī)就扭頭對(duì)這名市民說(shuō)要取消訂單。盡管這名市民一再拒絕，但司機(jī)還是堅(jiān)持把她送回原處，讓她重新打出租車。

　　沒(méi)有辦法，這名市民只能再次用這款網(wǎng)約車軟件叫車，結(jié)果發(fā)現(xiàn)來(lái)接他的還是那名司機(jī)。司機(jī)說(shuō)：“你要么就打個(gè)出租車回去，只要你還用這個(gè)軟件約車，叫到的還是我的車。”

　　這名市民當(dāng)時(shí)就納悶了，為什么會(huì)這樣？一番打聽(tīng)后，這名市民才知道，附近有一個(gè)由30多名“黑車”司機(jī)組成的車隊(duì)，每名司機(jī)都有一堆虛假的司機(jī)賬號(hào)，上百個(gè)虛假賬號(hào)由同一個(gè)人來(lái)統(tǒng)一接單，然后通過(guò)電臺(tái)調(diào)度車輛去接人。因此，不管用戶打到哪個(gè)號(hào)，都會(huì)調(diào)同一名司機(jī)去接人。

　　了解到這些內(nèi)情，這名市民更加不解，“這個(gè)網(wǎng)約車App上明明使用了‘人臉識(shí)別’功能來(lái)驗(yàn)證司機(jī)信息，為什么這些司機(jī)可以使用虛假賬號(hào)”？經(jīng)過(guò)一番軟磨硬泡，那名司機(jī)終于透露，“人臉識(shí)別”聽(tīng)起來(lái)很厲害，但是他們有軟件可以輕易破解。

　　沒(méi)錯(cuò)，“高大上”的“人臉識(shí)別”技術(shù)就這樣被一群“黑車”師傅給黑了。

　　以上故事是在Freebuf(國(guó)內(nèi)關(guān)注度最高的全球互聯(lián)網(wǎng)安全媒體平臺(tái))主辦的FIT2017互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上，平安科技安全研究員高亭宇在一場(chǎng)“關(guān)于人臉識(shí)別技術(shù)應(yīng)用風(fēng)險(xiǎn)”主題演講中的一段描述。

　　說(shuō)完這個(gè)故事，高亭宇現(xiàn)場(chǎng)展示了那名司機(jī)用來(lái)破解“人臉識(shí)別”技術(shù)的軟件——一款可以讓照片“張口說(shuō)話”的App。

　　高亭宇說(shuō)，從那之后，他開(kāi)始琢磨“人臉識(shí)別”技術(shù)在實(shí)際應(yīng)用層面的風(fēng)險(xiǎn)，并調(diào)研了市面上使用“人臉識(shí)別”技術(shù)的軟件，最后的結(jié)果出乎自己的預(yù)料。

　　通過(guò)分析，高亭宇發(fā)現(xiàn)，市面上大部分使用了“人臉識(shí)別”技術(shù)的軟件，其識(shí)別流程大致相同：檢測(cè)人臉→活體檢測(cè)→人臉對(duì)比(和之前上傳的自拍照或證件照)→分析對(duì)比結(jié)果→返回結(jié)果(通過(guò)或不通過(guò))。

　　據(jù)了解，其中“活體檢測(cè)”技術(shù)即在“人臉識(shí)別”時(shí)要求用戶進(jìn)行眨眼、點(diǎn)頭、張嘴等動(dòng)作，以防止靜態(tài)圖像破解，國(guó)內(nèi)多個(gè)知名App中的“人臉識(shí)別”都采用了這項(xiàng)技術(shù)。

　　高亭宇說(shuō)，一般的App開(kāi)發(fā)者不會(huì)自己開(kāi)發(fā)“人臉識(shí)別”技術(shù)，而是通過(guò)第三方的API接口或SDK組件來(lái)獲得“人臉識(shí)別”功能，基于這個(gè)特點(diǎn)，他對(duì)“人臉識(shí)別”技術(shù)從接入到實(shí)際使用過(guò)程中的每個(gè)關(guān)鍵點(diǎn)進(jìn)行了分析，最終在多個(gè)環(huán)節(jié)都找到了多個(gè)突破點(diǎn)，只要略施小計(jì)，就能讓“人臉識(shí)別”形同虛設(shè)。比如，注入應(yīng)用繞過(guò)活體檢測(cè)，也就是通過(guò)注入應(yīng)用的方式來(lái)篡改程序，從而繞過(guò)所謂的活體檢測(cè)功能，使用一張靜態(tài)照片就可以通過(guò)人臉識(shí)別。

　　在采訪過(guò)程中，甚至有業(yè)內(nèi)人士這樣表示，“不是3D打印不行，如果用一臺(tái)精密的打印機(jī)，破解‘人臉識(shí)別’同樣不在話下”。

　　“除了一般的考勤、賬號(hào)安全App之外，大量的銀行、P2P金融企業(yè)的App已經(jīng)介入使用了‘人臉識(shí)別’技術(shù)，其中金融行業(yè)在使用‘人臉識(shí)別’技術(shù)時(shí)的安全性明顯高于一般應(yīng)用；當(dāng)‘人臉識(shí)別’技術(shù)涉及關(guān)鍵業(yè)務(wù)時(shí)，安全防護(hù)水準(zhǔn)往往更高。”高亭宇說(shuō)，比如他在測(cè)試國(guó)內(nèi)某P2P金融的客戶端時(shí)，嘗試“人臉識(shí)別”解鎖失敗數(shù)次后，該App　就檢測(cè)出了可能存在惡意破解的情況，強(qiáng)制使用銀行卡信息、手機(jī)短信等其他方式來(lái)完成認(rèn)證。

　　高亭宇在現(xiàn)場(chǎng)強(qiáng)調(diào)了一點(diǎn)，除了“人臉識(shí)別”技術(shù)在手機(jī)上的應(yīng)用缺陷之外，許多問(wèn)題導(dǎo)致的原因都是開(kāi)發(fā)者在調(diào)用第三方“人臉識(shí)別”服務(wù)時(shí)，沒(méi)有嚴(yán)格按照一個(gè)安全的規(guī)范來(lái)做，接入流程不夠嚴(yán)謹(jǐn)，甚至經(jīng)常出現(xiàn)為了提高用戶體驗(yàn)而舍棄安全性的做法，這樣的做法在技術(shù)實(shí)力不強(qiáng)的小公司十分常見(jiàn)，最終導(dǎo)致的結(jié)果就是，讓用戶把密碼寫在了自己的臉上。

來(lái)源：http://www.chinanews.com/cj/2017/09-19/8334353.shtml