“刷脸”看健康码的电子哨兵,一旦遭破解,让你无路可走

简介: 基于人脸识别的健康码智能设施更广泛地进入人们的视线和空前密集活跃期,同时利用人脸识别系统漏洞、绕过人脸识别系统的违法的行为逐渐多了起来。通过一张贴纸、人像视频、3D 打印等等破解人脸系统的方式和新闻频繁地出现在新闻中。

场所码、电子哨兵、人脸识别的健康码门禁,疫情常态化下,众多专业的工具被广为所知。通过人脸识别或健康码识别,完成核验身份信息、人像的比对,查验健康码、核酸检测时效、行程以及体温等多项防疫信息数据,同时与智能通道闸机、门禁联动管控。绿码通行、红黄码及信息异常报警,这种无人值守、非接触式的智能设施,实现体温、健康防疫信息快速检测的同时,有效提高卡口管理工作效率,避免人员聚集,为织密筑牢疫情防控智慧网,持续做好防疫卡点提供重要支撑。

疫情常态下,人脸识别安全尤为重要

基于人脸识别的健康码智能设施更广泛地进入人们的视线和空前密集活跃期,同时利用人脸识别系统漏洞、绕过人脸识别系统的违法的行为逐渐多了起来。通过一张贴纸、人像视频、3D 打印等等破解人脸系统的方式和新闻频繁地出现在新闻中。

有网友反馈,社区住户戴帽子、墨镜、化妆后则小区门禁无法识别,导致未能正常出入。但是,有人使用社区住户人脸照片的仿真面具却可以正常通过。就在7月初,两大银行爆出的人脸识别系统漏洞,多名储户的数百万存款被异地盗取。人脸识别的风险显而易见,尤其在疫情下尤为重要。稍一不慎,就可能寸步难行。

用于疫情防控的人脸识别系统遭到破解,给企业和个人带来巨大的影响。假如,不法分子通过破解篡改人脸识别系统验证流程、信息、数据等,将后台或前端的真数据替换为假数据,或者替换为虚假核酸数据、虚假的行程记录,直接导致无法正常通过,不仅影响出行,更直接影响商业活动。

图片1.png

如果不能够有效保障人脸识别应用安全,如下场景可能随时出现:某公司的公司负责人张三,去商务酒店参加一个重要的合作签约。竞争对手为了阻止张三签约,破解了酒店大门的电子哨兵人脸识别应用。张三“刷脸”入门时,电子哨兵出现了虚假的健康码信息。张三不但被拒绝进入会议现场,更引发合作伙伴误会,预定的签约也直接作废,给公司带来巨大损失。

保护人脸安全已上升到国家层面

造成如上问题发生,一方面是人脸信息泄露,另一个重要原因是人脸识别应用遭破解。所以,不仅要保护个人人脸信息安全,更要保障人脸识别应用安全。

不法分子会通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后通过各种方式进行非法冒用。一旦人脸信息出现泄露,不仅可能或者流向黑市被反复贩卖,更可能被不法分子用于诈骗。因此,保护好人脸安全非常重要。

2021年7月,最高法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对人脸信息提供司法保护。解释明确规定,在宾馆、商场、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定,使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。

保障人脸应用安全,需要三方面入手

2021年4月7日,中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”。顶象等多家公司入选第二批“可信人脸应用守护计划”成员单位,将与各界通力合作,积极探索人脸应用治理与发展的可信指引,助力人脸识别应用安全发展,共建可信的人脸应用生态。

基于人脸识别发生的风险案例,顶象建议从两方面入手,提升人脸识别应用的安全性。

第一,保障人脸识别应用安全。防范人脸一个用遭破解,代码被篡改;及时发现big拦截设备伪造、摄像头劫持风险,防止各类异常操作。

第二,保障人脸识别精准度与人脸数据安全。人脸识别系统需要加强空间域的、图像取证、生物频率、GAN伪影、生物信号、视声不一致以及视觉上不自然等检测,并通过模型和算法提高真伪判别。同时,保障通讯传输安全,防止防止被灌入虚假人像和信息、防止数据传输中被篡改,保证人脸数据存储以及传输的完整性。

第三,提升人脸识别应用的预警性。自助化的人脸识别应用,需要有一套辅助的核验体系,必要时需要人工参与。立体的风控体系鞥能够增强人脸识别从源头到应用的全链条预警、拦截、防护能力,提升人脸识别应用的安全性。

基于以上解决思路,顶象建议相关企业在三方面入手,提升“刷脸”设备的安全性:

1、顶象防御云集成端加固产品,基于虚机源码保护专利技术,能够为App、小程序、H5等提供全方位的安全保护,有效防御黑灰产的调试、注入、模拟器、逆向和二次打包等攻击威胁,保障人脸识别应用安全。

2、顶象防御云集成的业务感知防御平台,通过对移动端100+风险项及异常行为的分析识别,及时发现针对摄像头劫持、设备伪造、注入、hook、越狱、root、模拟器等风险,并提供从风险识别、预警处置、黑样本沉淀的闭环管理,能够有效防范人脸识别各类风险。

3、顶象实时决策引擎能够检测设备环境,实时发现注入、二次打包、函数劫持账号等风险,结合黑产异常行为特征配置的风控策略,及时发现设备和应用的异常行为,帮助运维人员决策提供支撑,为人脸识别应用安全提供全流程安全预警。

相关文章
|
安全 API 开发工具
第五期 | 储户银行卡深夜“被刷脸”盗走百万元,团伙作案手段全揭秘
针对近日接连爆出银行储户存款被“刷脸”盗走事件,顶象防御云业务安全情报中心复盘了整个流程:黑灰产首先窃取储户信息,然后制作一个山寨的银行App,诱导储户下载后,再利用劫持摄像头、替换人脸数据等方式登录储户账号,并使用利用劫持手段获取储户的短信验证,最后完成储户资金的的盗取。
344 0
第五期 | 储户银行卡深夜“被刷脸”盗走百万元,团伙作案手段全揭秘
|
监控 安全
卡巴斯基手机安全软件:让遗失手机远离“短信门”
近日,“女局长暧昧手机短信曝光”事件已经迅速占据了各媒体的头条,用户在唏嘘之余不由得捂紧了自己的手机——如何在手机丢失后保护个人隐私安全已成为绝大多数手机用户束手无策的问题。卡巴斯基手机安全软件反盗窃、隐私保护功能能够为手机用户做到远程锁定手机、远程删除隐私、进行SIM卡监控,全方位保证手机丢失后的个人信息安全。
1199 0
|
新零售 安全 数据安全/隐私保护
盗取手机验证码诈骗的克星来了:号码认证服务为你保驾护航
今年开始,一种仿佛是“黑魔法”的新诈骗手段叫人人心惶惶:受害者只是睡了个觉,醒来就看到手机显示数百条在各大购物网站、手机银行甚至借贷网站的消费转账记录。受害者什么也没做,就仿佛手机成了精,趁主人熟睡时疯狂买买买。
2679 0
|
算法 安全 PHP
出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了
本文讲的是出门刷卡要小心!一种可以从POS机终端收集信用卡信息的恶意软件出现了,Neutrino与其他恶意软件研发者一样,都希望他们所研发的恶意软件能够长期地被黑客利用并占据一定的市场份额,所以Neutrino不断出现新的变体就不足为奇了。
2108 0