上海檢方公訴的一起涉案金額超5億元的虛開(kāi)發(fā)票案�����,牽出非法人臉識(shí)別案
“人臉識(shí)別破解術(shù)”成黑產(chǎn)業(yè)�����,護(hù)“臉”亟須查缺補(bǔ)漏
人臉識(shí)別作為一種易用性強(qiáng)的生物特征驗(yàn)證技術(shù)�����,目前在政務(wù)���、安防、金融�、生活消費(fèi)等行業(yè)都有著廣泛應(yīng)用。不過(guò)��,新華每日電訊記者調(diào)查發(fā)現(xiàn)��,人臉識(shí)別技術(shù)存在明顯的安全漏洞�,對(duì)社會(huì)和財(cái)產(chǎn)安全存在重大隱患,亟須進(jìn)行系統(tǒng)性的安全排查和堵漏���。
一起發(fā)票案牽出非法人臉識(shí)別案
記者從上海檢察機(jī)關(guān)獲悉���,在近期上海市虹口區(qū)人民檢察院公訴的一起特大虛開(kāi)增值稅普通發(fā)票案中��,被告人通過(guò)破解人臉識(shí)別技術(shù)等方式����,注冊(cè)“皮包公司”用于虛開(kāi)增值稅普通發(fā)票��。據(jù)悉����,多名被告人為他人開(kāi)具增值稅普通發(fā)票價(jià)稅合計(jì)超過(guò)5億元。
案件中����,犯罪嫌疑人首先通過(guò)相關(guān)政務(wù)平臺(tái)完成注冊(cè)“皮包公司”,過(guò)程中通過(guò)平臺(tái)上注冊(cè)人的人臉識(shí)別是注冊(cè)成功的關(guān)鍵環(huán)節(jié)����。
為達(dá)到目的,犯罪嫌疑人中專(zhuān)門(mén)從事人臉識(shí)別破解的成員表示����,其一般先從他處以30元每個(gè)的價(jià)格購(gòu)買(mǎi)他人的高清頭像和身份證信息,之后利用“活照片”App對(duì)高清頭像進(jìn)行處理�����,讓照片“動(dòng)起來(lái)”,形成包括點(diǎn)頭�、搖頭���、眨眼����、張嘴等動(dòng)作視頻���。
“獲取視頻后����,我們利用特殊處理的手機(jī)‘劫持’攝像頭���,在人臉認(rèn)證環(huán)節(jié)時(shí)�����,手機(jī)攝像頭不會(huì)啟動(dòng)���,系統(tǒng)獲取的是之前做好的視頻。系統(tǒng)會(huì)認(rèn)為是本人在攝像頭前,最后通過(guò)認(rèn)證��。”犯罪嫌疑人說(shuō)����。
同時(shí),該團(tuán)伙還破解了某廣泛用于管理電子營(yíng)業(yè)執(zhí)照App的人臉識(shí)別系統(tǒng)���。犯罪嫌疑人下載電子營(yíng)業(yè)執(zhí)照后��,會(huì)在App里添加辦事員的身份信息��。虛開(kāi)發(fā)票團(tuán)伙就以此通過(guò)辦事員身份使用電子營(yíng)業(yè)執(zhí)照����。
據(jù)犯罪嫌疑人交代�����,其破解的App類(lèi)別非常廣泛��,涉及政務(wù)�����、安防、金融���、支付��、生活消費(fèi)等用戶(hù)量巨大的App����。每單的破解價(jià)格從25元到300元不等��。
15分鐘破解19款手機(jī)的人臉識(shí)別系統(tǒng)
“15分鐘破解19款手機(jī)的人臉識(shí)別系統(tǒng)��。”據(jù)記者了解����,依托清華大學(xué)人工智能研究院成立的團(tuán)隊(duì)瑞萊智慧近期披露了新的研究成果:研究人員根據(jù)一張照片��,通過(guò)研究算法�����,制作一副特殊“眼鏡”��,就可以刷臉解鎖他人手機(jī)或App身份認(rèn)證����。
研究人員向記者透露�����,其團(tuán)隊(duì)通過(guò)對(duì)抗樣本攻擊��,戴上自制眼鏡后�,15分鐘內(nèi)破解了19款智能手機(jī)的人臉識(shí)別解鎖系統(tǒng)�����。同樣被破解的還包括十余款金融和政務(wù)服務(wù)類(lèi)App����。
研究人員表示,結(jié)合身份證號(hào)等個(gè)人信息�����,甚至可冒充機(jī)主完成線上銀行開(kāi)戶(hù)�。
“過(guò)臉識(shí)別技術(shù)”群里,黑客成“貴客”
記者發(fā)現(xiàn)�����,網(wǎng)上存在大量提供破解人臉識(shí)別技術(shù)服務(wù)的群組,群名大多采用“過(guò)臉”“識(shí)別技術(shù)”等關(guān)鍵詞逃避監(jiān)管�。群人數(shù)從100人到300人不等。
在一個(gè)名為“過(guò)臉識(shí)別技術(shù)”的群里�,有人采取付費(fèi)的方式邀約群內(nèi)可以破解支付軟件人臉識(shí)別審核的人士。黑客�,成了人們追捧的“貴客”。
2017年����,在上海召開(kāi)的一場(chǎng)“國(guó)際安全及客大賽”,來(lái)自多個(gè)國(guó)家的“極客們”就上演了一出出腦洞大開(kāi)的黑科技破解秀���。(記者:潘旭)新華社音視頻部制作
此外,有的群則是對(duì)破解技術(shù)進(jìn)行資料��、資源分享交流����。一個(gè)名為“VX三色過(guò)臉”的群自稱(chēng)“破解人臉識(shí)別技術(shù)的扛把子”“適合想入行的新手和小白”,群內(nèi)多達(dá)300人�����。
名為“藍(lán)葉子”的用戶(hù)給記者發(fā)來(lái)一段App人臉識(shí)別安防的破解視頻�,并表示可以出售一臺(tái)特制的手機(jī)�����。通過(guò)導(dǎo)入自行制作的人臉動(dòng)作視頻后��,所有在該手機(jī)上安裝的應(yīng)用軟件���,都可以自動(dòng)跳過(guò)人臉認(rèn)證的環(huán)節(jié)。每臺(tái)手機(jī)的價(jià)格為1650元��。
他還告訴記者����,虛假的人臉動(dòng)作視頻可以使用“你我當(dāng)年”“活照片”“輕松換臉”等App完成。
“我們了解到���,有的公司上班考勤要進(jìn)行人臉識(shí)別打卡�����,有員工委托黑客入侵打卡App�����,利用人臉識(shí)別漏洞來(lái)完成打卡����,每月僅需付給黑客30元。”一位網(wǎng)絡(luò)安防公司相關(guān)負(fù)責(zé)人向記者透露��。
在上述虛開(kāi)發(fā)票案中����,犯罪嫌疑人除了利用破解技術(shù)從事虛開(kāi)發(fā)票外,還會(huì)利用注冊(cè)新賬號(hào)從事騙取各類(lèi)App補(bǔ)貼優(yōu)惠等違法犯罪���。
瑞萊智慧高級(jí)產(chǎn)品經(jīng)理張旭東告訴記者��,當(dāng)前破解人臉識(shí)別技術(shù)主要是針對(duì)活體檢測(cè)的假體攻擊�����,但針對(duì)AI算法自身的對(duì)抗樣本攻擊威脅也逐步凸顯。
“由于業(yè)界的人臉識(shí)別技術(shù)主要是固定幾個(gè)方法����,相似度很高。如果黑客提供一個(gè)專(zhuān)用于破解人臉識(shí)別的開(kāi)源軟件�����,并在互聯(lián)網(wǎng)上廣泛流傳,犯罪分子利用漏洞進(jìn)行各類(lèi)App實(shí)施違法犯罪將猶如‘入無(wú)人之境’���。”張旭東說(shuō)��。
在新華三集團(tuán)安全專(zhuān)家曹亮看來(lái)���,無(wú)論是對(duì)抗樣本攻擊還是針對(duì)活體檢測(cè)的假體攻擊,最終目的都是為了騙過(guò)“機(jī)器眼”��。
“當(dāng)前人臉識(shí)別算法大都是人臉上‘三點(diǎn)’‘五點(diǎn)’‘七點(diǎn)’的識(shí)別����,通過(guò)對(duì)眼睛、鼻子�����、嘴��、耳朵以及頭部活動(dòng)來(lái)實(shí)現(xiàn)認(rèn)證�����。黑客完全可以通過(guò)了解機(jī)器內(nèi)部驗(yàn)證機(jī)制和評(píng)判規(guī)則���,再想辦法繞過(guò)安全防護(hù)���。”他說(shuō)���。
抓緊查缺補(bǔ)漏,還每一張臉“安全”
專(zhuān)家認(rèn)為��,應(yīng)盡快排摸國(guó)內(nèi)政務(wù)���、安防��、金融����、支付�、生活消費(fèi)等領(lǐng)域的核心App應(yīng)用存在的相關(guān)漏洞,并及時(shí)打上補(bǔ)丁�����,以防發(fā)生危害社會(huì)安全和財(cái)產(chǎn)安全的重大事件�����。
開(kāi)展軟硬件“對(duì)攻升級(jí)”��。張旭東表示���,當(dāng)務(wù)之急應(yīng)對(duì)涉及政務(wù)���、安防、金融����、消費(fèi)等行業(yè)的人臉識(shí)別技術(shù)漏洞進(jìn)行完善和升級(jí)。
“尤其是對(duì)于涉眾���、涉密�����、涉及公共利益的相關(guān)平臺(tái)和技術(shù)服務(wù)提供商�����,需優(yōu)先完成技術(shù)加固�,對(duì)手機(jī)模擬器要做好防范和拒絕。同時(shí)���,鼓勵(lì)和引導(dǎo)更多手機(jī)廠商在手機(jī)升級(jí)時(shí)支持3D人臉識(shí)別技術(shù)��。”張旭東說(shuō)���。
“手機(jī)廠商在寫(xiě)入手機(jī)系統(tǒng)時(shí)可內(nèi)置安全模塊,防止黑客繞過(guò)手機(jī)攝像頭啟動(dòng)環(huán)節(jié)�����、對(duì)攝像頭實(shí)現(xiàn)劫持����,從源頭上實(shí)現(xiàn)安全守護(hù)。”曹亮說(shuō)�����。
制定落實(shí)人臉識(shí)別安全標(biāo)準(zhǔn)���。曹亮表示���,對(duì)核心領(lǐng)域使用人臉識(shí)別技術(shù)的產(chǎn)品����,監(jiān)管部門(mén)可制定并嚴(yán)格實(shí)施相關(guān)標(biāo)準(zhǔn)��,保證產(chǎn)品符合安全技術(shù)要求��。
“可依據(jù)人臉識(shí)別在公共或商業(yè)應(yīng)用中對(duì)安全的差異化需求���,制定分級(jí)別、多層次的國(guó)家安全標(biāo)準(zhǔn)及行業(yè)安全標(biāo)準(zhǔn)�����。”他說(shuō)����。
加強(qiáng)司法打擊,保護(hù)每一張“臉”�����。“違法者可能涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪���,執(zhí)法和司法機(jī)關(guān)應(yīng)當(dāng)加強(qiáng)打擊力度�����,形成威懾力����。”北京格豐律師事務(wù)所合伙人郭玉濤律師說(shuō)。他建議����,當(dāng)前各大政務(wù)、金融��、電商等平臺(tái)都搜集了大量的人臉數(shù)據(jù)���,既存在重復(fù)建設(shè)的問(wèn)題����,更存在安全隱患和風(fēng)險(xiǎn)����。國(guó)家和省級(jí)層面可建立統(tǒng)一的商用安防大數(shù)據(jù)中心,以此達(dá)到防止人臉信息的濫用����、外泄等問(wèn)題����。
“可要求人臉識(shí)別算法供應(yīng)商的模型須在大數(shù)據(jù)中心內(nèi)進(jìn)行訓(xùn)練�,實(shí)現(xiàn)數(shù)據(jù)、模型物理上不出專(zhuān)網(wǎng)�����。算法供應(yīng)商可租用大數(shù)據(jù)中心的數(shù)據(jù)和計(jì)算力進(jìn)行算法模型的升級(jí)和更新���。”他說(shuō)。(記者 蘭天鳴)
標(biāo)簽:
人臉識(shí)別破解術(shù)
