场所码、电子哨兵、人脸识别的健康码门禁,疫情常态化下,众多专业的工具被广为所知。通过人脸识别或健康码识别,完成核验身份信息、人像的比对,查验健康码、核酸检测时效、行程以及体温等多项防疫信息数据,同时与智能通道闸机、门禁联动管控。绿码通行、红黄码及信息异常报警,这种无人值守、非接触式的智能设施,实现体温、健康防疫信息快速检测的同时,有效提高卡口管理工作效率,避免人员聚集,为织密筑牢疫情防控智慧网,持续做好防疫卡点提供重要支撑。
疫情常态下,人脸识别安全尤为重要
基于人脸识别的健康码智能设施更广泛地进入人们的视线和空前密集活跃期,同时利用人脸识别系统漏洞、绕过人脸识别系统的违法的行为逐渐多了起来。通过一张贴纸、人像视频、3D 打印等等破解人脸系统的方式和新闻频繁地出现在新闻中。
有网友反馈,社区住户戴帽子、墨镜、化妆后则小区门禁无法识别,导致未能正常出入。但是,有人使用社区住户人脸照片的仿真面具却可以正常通过。就在7月初,两大银行爆出的人脸识别系统漏洞,多名储户的数百万存款被异地盗取。人脸识别的风险显而易见,尤其在疫情下尤为重要。稍一不慎,就可能寸步难行。
用于疫情防控的人脸识别系统遭到破解,给企业和个人带来巨大的影响。假如,不法分子通过破解篡改人脸识别系统验证流程、信息、数据等,将后台或前端的真数据替换为假数据,或者替换为虚假核酸数据、虚假的行程记录,直接导致无法正常通过,不仅影响出行,更直接影响商业活动。
如果不能够有效保障人脸识别应用安全,如下场景可能随时出现:某公司的公司负责人张三,去商务酒店参加一个重要的合作签约。竞争对手为了阻止张三签约,破解了酒店大门的电子哨兵人脸识别应用。张三“刷脸”入门时,电子哨兵出现了虚假的健康码信息。张三不但被拒绝进入会议现场,更引发合作伙伴误会,预定的签约也直接作废,给公司带来巨大损失。
保护人脸安全已上升到国家层面
造成如上问题发生,一方面是人脸信息泄露,另一个重要原因是人脸识别应用遭破解。所以,不仅要保护个人人脸信息安全,更要保障人脸识别应用安全。
不法分子会通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后通过各种方式进行非法冒用。一旦人脸信息出现泄露,不仅可能或者流向黑市被反复贩卖,更可能被不法分子用于诈骗。因此,保护好人脸安全非常重要。
2021年7月,最高法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对人脸信息提供司法保护。解释明确规定,在宾馆、商场、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定,使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
保障人脸应用安全,需要三方面入手
2021年4月7日,中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”。顶象等多家公司入选第二批“可信人脸应用守护计划”成员单位,将与各界通力合作,积极探索人脸应用治理与发展的可信指引,助力人脸识别应用安全发展,共建可信的人脸应用生态。
基于人脸识别发生的风险案例,顶象建议从两方面入手,提升人脸识别应用的安全性。
第一,保障人脸识别应用安全。防范人脸一个用遭破解,代码被篡改;及时发现big拦截设备伪造、摄像头劫持风险,防止各类异常操作。
第二,保障人脸识别精准度与人脸数据安全。人脸识别系统需要加强空间域的、图像取证、生物频率、GAN伪影、生物信号、视声不一致以及视觉上不自然等检测,并通过模型和算法提高真伪判别。同时,保障通讯传输安全,防止防止被灌入虚假人像和信息、防止数据传输中被篡改,保证人脸数据存储以及传输的完整性。
第三,提升人脸识别应用的预警性。自助化的人脸识别应用,需要有一套辅助的核验体系,必要时需要人工参与。立体的风控体系鞥能够增强人脸识别从源头到应用的全链条预警、拦截、防护能力,提升人脸识别应用的安全性。
基于以上解决思路,顶象建议相关企业在三方面入手,提升“刷脸”设备的安全性:
1、顶象防御云集成端加固产品,基于虚机源码保护专利技术,能够为App、小程序、H5等提供全方位的安全保护,有效防御黑灰产的调试、注入、模拟器、逆向和二次打包等攻击威胁,保障人脸识别应用安全。
2、顶象防御云集成的业务感知防御平台,通过对移动端100+风险项及异常行为的分析识别,及时发现针对摄像头劫持、设备伪造、注入、hook、越狱、root、模拟器等风险,并提供从风险识别、预警处置、黑样本沉淀的闭环管理,能够有效防范人脸识别各类风险。
3、顶象实时决策引擎能够检测设备环境,实时发现注入、二次打包、函数劫持账号等风险,结合黑产异常行为特征配置的风控策略,及时发现设备和应用的异常行为,帮助运维人员决策提供支撑,为人脸识别应用安全提供全流程安全预警。