当前位置:首页 >  互联网 >  细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统

发布时间:2021-01-28 10:10编辑:小狐阅读: 697次 手机阅读

攻击者拿到一张你的照片,据此制作一副特殊“眼镜”就可以刷脸解锁你的手机?这是真的。

最近,依托清华大学人工智能研究院成立的团队瑞莱智慧RealAI披露了新的研究成果: 研究人员通过对抗样本攻击,破解了19款安卓手机的人脸识别解锁。

同样被破解的,还包括 十余款金融和政务服务类App

↓↓

照片加上特殊“花纹”即可骗过人脸识别

在介绍RealAI的新研究之前,我们先简单解释一下何为“对抗样本”

训练算法模型需要输入数据。而对抗样本,简单而言,就是一种由攻击者设计的错误输入数据。只要在原有数据上添加干扰因素,就能导致算法模型输出完全不同的结果。

人的肉眼可能完全看不出对抗样本的变化。所以,你也可以把干扰因素理解为一种特殊的“花纹”

对抗样本最有名的例子之一,出自前谷歌大脑研究人员、有着“生成对抗网络(GAN)之父”称号的科学家伊恩·古德费洛(Ian Goodfellow)—在他的研究中,算法将一张大熊猫图片的对抗样本识别成了长臂猿。

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统(图1)

研究人员在大熊猫图片上添加干扰后,算法将其识别成了长臂猿。

瑞莱智慧RealAI高级产品经理 张旭东介绍,他们此次采用的破解方式,也是对抗样本攻击。

不过,不同于学术界研究较多的虚拟世界攻击,这一攻击发生在真实世界。研究人员不需要用到劫持摄像头等手段,便可以直接破解人脸识别。

在制作对抗样本时,研究人员需要同时用到“攻击者”和“受害者”的照片,将“攻击者”照片设定为基准、“受害者”照片设定为攻击目标。

攻击算法在接收到两人的照片后,会自动生成干扰后的图案,就像一块人脸“补丁”随后,攻击者用A4纸打印出这块“补丁”再贴到一副镜框上戴好,就会“化身”为受害者,让算法识别错误。

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统(图2)

研究人员使用的“眼镜”

据了解,人脸识别算法,是依据相似度来分辨不同的人。两张图片的相似度高于阈值,就会被算法判定为同一人。攻击者通过戴上“补丁”眼镜让两个人的相似度大幅提高,从而实现破解。

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统(图3)

左一是“受害者”的眼部图像,右一、二是对抗样本图像。

19款主流品牌手机及数款银行应用被破解

据介绍,研究人员选取了20款手机进行,除了苹果以外,还涉及到国内五大主流手机品牌的不同价位机型。

南都·AI前哨站在现场看到,攻击者破解手机的过程相当迅速,基本上几秒内就可以顺利解锁。

研究人员说,整体而言,低端机的安全性要差一些,但高端机同样能够被破解。他们了一款2020年12月发布的国产品牌旗舰机,也是“一下子就打开了”

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统(图4)

研究人员通过手机人脸识别解锁。

不仅仅是手机,部分App的人脸识别也存在类似的安全漏洞。

在掌握了受害者的姓名、身份证号、手机号等个人信息后,研究人员甚至可以在十余款银行及政务类App上通过人脸识别验证,冒用受害者身份完成银行开户,或者查看受害者的社保、公积金等详细信息。

值得注意的是,App实名认证的安全要求比手机解锁更加严格,一般会要求用户进行一些交互操作,比如眨眨眼、点点头。但在中,研究人员把对抗样本的眼睛部分挖掉,再做出眨眼、点头等动作,依然可以通过验证。

细思恐极,一个动作,破解了19款安卓手机的人脸识别解锁系统(图5)

研究人员通过某政务类App人脸识别验证。

这意味着,即便是那些搭载了交互式活体检测功能的商用人脸识别算法,依然能被对抗样本破解。

有研究人员告诉南都·AI前哨站,目前业界主流的人脸识别算法都具备了活体检测能力,所以之前常见的用一张照片、一段来完成刷脸的做法已经行不通。但对抗样本攻击针对的是算法模型底层的漏洞,完全不受活体检测限制。攻击者在脸上添加了局部扰动,导致算法产生了错误识别。

“对于人脸识别应用来说,这是一个此前从未有过的攻击面,需要采取针对性的措施加固。”研究人员说。

破解的技术门槛较高 但仍有现实威胁

不同的手机厂商和App,使用的人脸识别算法难道没有差异?为什么同一副眼镜能解锁不同的?

张旭东告诉南都·AI前哨站,一个对抗样本不可能攻破所有的产品,但“在一定范围内是通用的”“现在市场上在商用的主流人脸识别模型其实只有几种。模型之间有可迁移性,也就是有相通的地方,所以我们可以利用这一原理去进行攻击,攻破这19款手机也只用到了两幅眼镜。”

需要说明的是,对抗样本的制作,依赖于一个核心的算法模型。

张旭东介绍,虽然在此次的研究中,模型仅用5分钟左右就可以输出质量较高的对抗样本,但他们所使用的模型也经历了多次迭代的过程。

要出这样的模型并不容易,技术门槛较高。但张旭东说,如果有恶意开源相关模型,制作对抗样本的难度就会大大降低,没有技术背景的可以上手。

在人工智能领域,类似的案例并不少见,AI换脸便是典型。在Deepfake问世之后,各种各样的开源换脸模型和软件也相继出现。裁判文书网案例显示,一些犯罪团伙便是使用开源软件完成了换脸素材的制作,进而攻破一些金融支付类App。

还有外国者推出过一款AI软件,可以把正常照片转换为“裸照”因为争议太大,者很快下架了软件。但直到很久之后,这款软件还在各种网络灰色渠道流传,甚至被人高价出售。

研究人员建议:

不要随便在网上发照片

令人不安的是,RealAI团队所使用的人工智能模型,对于受害者的照片没有太高要求。“大家平常在社交网站上传的照片,只要能看清脸,其实就可以用来做攻击。”张旭东说。

因此,他建议大家不要随便在网上发含有清晰人脸的照片,同时要保护好自己的手机号、身份证号等个人信息。

以银行类App为例,虽然现在的支付转账操作都需要多因素验证,但一旦用户的个人信息全部泄露,不法分子就可能同时完成刷脸、输入手机验证码等操作,使得多因素验证失效。

信息安全攻防,是一个“魔高一尺,道高一丈”的过程。在张旭东看来,就像照片攻击推动了活体检测的诞生,未来,也需要有专门的产品和技术来应对对抗样本攻击。

“所有的攻击研究,最终的目标还都是为了找出漏洞,再去针对性地打补丁、做防御。”张旭东说,“我们攻克的人脸识别,其实只是厂商业务环节之中的一环。他们面临的安全风险到底处于什么程度?要怎样解决问题?不同的场景下,业务方所面临的安全风险和加固需求都是不一样的,需要大家一起去探索。”

采写/:南都记者 冯群星 潘颖欣

广东春节天气,宣布了!接下来有4波冷空气,不过…

本文相关词条概念解析:

人脸识别

人脸识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部的一系列相关技术,通常也叫做人像识别、面部识别。2015年11月,招商银行推出人脸识别你取款机,真正实现刷脸取款,目前这款取款机已经在南京正式亮相并启用,据称全国只有3台。这台取款机位于新街口的招商银行南京分行营业部,外形被设计成小黄人造型,非常卡哇伊。网友体验发现,取款仅需42秒。

标签:
  • 网友评论
相关文章:

互联网本月排行

互联网精选