行業(yè)資訊

人臉識(shí)別滑鐵盧?拆解“變臉炸彈”急救包

2017/3/17 11:36:06 來(lái)源：中國(guó)企業(yè)新聞網(wǎng) 評(píng)論：(0)

導(dǎo)言：今年央視“3·15晚會(huì)”上一個(gè)“變臉”身份證破解的演示，讓許多人都出了一身冷汗!人臉識(shí)別技術(shù)即將大潰敗?與人臉識(shí)別關(guān)系緊密的金融在線支付認(rèn)證、人工智能等行業(yè)領(lǐng)域?qū)⒃馐軓?qiáng)颶風(fēng)摧殘?

　　今年央視“3·15晚會(huì)”上一個(gè)“變臉”身份證破解的演示，讓許多人都出了一身冷汗!人臉識(shí)別技術(shù)即將大潰敗?與人臉識(shí)別關(guān)系緊密的金融在線支付認(rèn)證、人工智能等行業(yè)領(lǐng)域?qū)⒃馐軓?qiáng)颶風(fēng)摧殘?

　　其實(shí)在安全技術(shù)人員的眼里，破解人臉身份認(rèn)證的方法還有很多。

　　破解人臉識(shí)別四連擊

　　第一擊：技術(shù)“肢解”人臉識(shí)別

　　現(xiàn)在許多APP開(kāi)發(fā)者自身并沒(méi)有精力、經(jīng)驗(yàn)去研發(fā)人臉識(shí)別，所以都是通過(guò)第三方API接口或SDK組件來(lái)獲得人臉識(shí)別這項(xiàng)身份認(rèn)證功能。這意味著，一旦APP應(yīng)用自身安全防護(hù)強(qiáng)度不夠，攻擊者就可以通過(guò)反編譯APP應(yīng)用程序，修改其程序儲(chǔ)存值的方式繞過(guò)人臉識(shí)別�；蛘叻治鯝PP數(shù)據(jù)結(jié)構(gòu)，通過(guò)修改入?yún)⒆值涞姆绞酱鄹幕铙w檢測(cè)完成后的圖片，實(shí)現(xiàn)對(duì)人臉識(shí)別的破解。

　　第二擊：安全缺陷繞過(guò)人臉識(shí)別

　　安全研究人員發(fā)現(xiàn)，部分APP在使用人臉識(shí)別技術(shù)時(shí)，沒(méi)有對(duì)圖像數(shù)據(jù)進(jìn)行簽名，或者沒(méi)有給數(shù)據(jù)報(bào)文加入時(shí)間戳，導(dǎo)致某些關(guān)鍵識(shí)別數(shù)據(jù)可被截獲、篡改。而有些APP為了提高人臉識(shí)別成功率所設(shè)置的“匹配閾值”也容易被破解調(diào)低，導(dǎo)致人臉識(shí)別功能失效。

　　第三擊：變臉攻擊欺騙人臉識(shí)別

　　今年“3·15晚會(huì)”上演示的是通過(guò)Photospeak軟件進(jìn)行“變臉”術(shù)，來(lái)破解人臉識(shí)別中的活體檢測(cè)關(guān)。那么從理論上推斷，一段足夠清晰的人物正面視頻也可以把“寫在臉上的密碼”錄制下來(lái)，對(duì)人臉識(shí)別進(jìn)行欺騙。

　　第四擊：臉部模型冒充通過(guò)人臉識(shí)別

　　對(duì)于安全鑒別度低的人臉識(shí)別，安全研究人員甚至可以通過(guò)3D建模，構(gòu)建人臉模型的方式實(shí)行破解。

　　封堵安全缺陷拆解“變臉炸彈”

　　通過(guò)深入分析破解人臉識(shí)別的各種技術(shù)與方法后能夠發(fā)現(xiàn)，正是由于各類安全缺陷的存在，使得人臉識(shí)別遭遇了“信任危機(jī)”。那么要想拆解這枚“變臉炸彈”，就需要從封堵安全缺陷著手開(kāi)始。

　　拆彈第1步：為APP搭建防爆墻

　　自身防護(hù)能力薄弱的APP，很容易讓人臉識(shí)別成為馬奇諾防線。所以需要增強(qiáng)APP自身安全強(qiáng)度，通過(guò)dex加殼、內(nèi)存防護(hù)、so庫(kù)文件加密、資源文件加密等多種APP安全加固技術(shù)協(xié)同實(shí)施保護(hù)，達(dá)到增強(qiáng)APP靜態(tài)安全、動(dòng)態(tài)安全、交易驗(yàn)證安全、數(shù)據(jù)安全以及發(fā)布完整性的目標(biāo)，抵御反編譯、惡意篡改、二次打包等入侵攻擊行為。

　　同時(shí)也要對(duì)SDK實(shí)施安全加固保護(hù)，例如進(jìn)行Jar包源代碼動(dòng)態(tài)加密、本地?cái)?shù)據(jù)文件動(dòng)態(tài)加密、so代碼段加密、so數(shù)據(jù)段加密、so函數(shù)表加密、SDK完整性校驗(yàn)、SDK防調(diào)試保護(hù)等。

　　通過(guò)對(duì)APP實(shí)施多重加固安全保護(hù)，消除各類安全缺陷，能夠防止“堡壘被從內(nèi)部攻破”問(wèn)題的出現(xiàn)。

　　拆彈第2步：多因子認(rèn)證打造身份認(rèn)證立體防御體系

　　在許多安全性高的應(yīng)用場(chǎng)景里，人臉識(shí)別其實(shí)僅僅是其身份認(rèn)證中的一個(gè)環(huán)節(jié)。除了傳統(tǒng)的賬號(hào)、密碼、認(rèn)證碼等身份認(rèn)證外，還會(huì)引入指紋識(shí)別、語(yǔ)音識(shí)別、虹膜識(shí)別等更多身份認(rèn)證環(huán)節(jié)。以這種多層次、交叉識(shí)別多因子認(rèn)證的方式，整體增強(qiáng)身份認(rèn)證的強(qiáng)度，極大的降低了身份認(rèn)證被攻破的可能性。

　　拆彈第3步：用戶畫像提升人工智能認(rèn)知安全

　　如今異常火爆的人工智能領(lǐng)域里，人臉識(shí)別是人工智能系統(tǒng)認(rèn)知外界、獲取外部信息的一個(gè)重要基礎(chǔ)渠道�！白兡樥◤棥钡某霈F(xiàn)，將把人工智能炸的暈頭轉(zhuǎn)向，甚至使其錯(cuò)招頻出。

　　那么除了要增強(qiáng)人工智能相關(guān)模塊的代碼安全性外，還可以借助用戶畫像技術(shù)，通過(guò)分析用戶的日常行為特征，輔以威脅情報(bào)信息，幫助人工智能構(gòu)建、明確“你就是你——Only You”，提升人工智能的認(rèn)知安全能力。

　　孤立的安全不可取

　　“3·15晚會(huì)”上“變臉炸彈”破解人臉識(shí)別的演示，更多是要告誡廣大消費(fèi)者們，隨著人們連接進(jìn)入網(wǎng)絡(luò)的手段方式愈加豐富，犯罪分子的可攻擊面也變得“豐富”起來(lái)。僅靠密碼、手機(jī)短信認(rèn)證、人臉識(shí)別等單一的安全防護(hù)手段，已經(jīng)無(wú)法實(shí)現(xiàn)對(duì)自身安全的有效保護(hù)。同時(shí)也再一次提醒相關(guān)廠商，需要建立起足夠廣度與深度的多維度、多因子身份認(rèn)證安全系統(tǒng)防線，孤立安全防護(hù)的時(shí)代已經(jīng)謝幕!

免責(zé)聲明：

※ 以上所展示的信息來(lái)自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本網(wǎng)站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問(wèn)題需要同本網(wǎng)聯(lián)系的，請(qǐng)?jiān)?0日內(nèi)進(jìn)行。
※ 有關(guān)作品版權(quán)事宜請(qǐng)聯(lián)系中國(guó)企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時(shí)內(nèi)審核并處理。

分享到：

[責(zé)任編輯：徐燕萍]