《白皮书》:身边的人脸安全事件及背后的三类攻击手段

简介: 近日,顶象发布《人脸识别安全白皮书》。《白皮书》对人脸安全事件、风险产生的原因进行了详细介绍及重点分析。

近日,顶象发布《人脸识别安全白皮书》。《白皮书》对人脸安全事件、风险产生的原因进行了详细介绍及重点分析。

人脸识别是基于人面部特征数据进行身份识别的一项生物特征技术,用于手机解锁、身份验证、上班打卡、社区、考勤、乘车、购物等,在金融、医疗、安检、支付、文娱等诸多领域得到普及,为数字经济社会发展和人们日常生活带来了新机遇。
人脸.png

发生在身边的人脸安全事件

由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子甚至会开发作弊工具来破解、干扰、攻击人脸识别技术背后的应用和算法,进而引发盗窃、诈骗、侵入住宅等犯罪,危及被害人的数据安全、财产安全乃至人身安全。

卫浴门店自动抓取人脸信息。2021年央视“3·15”晚会点名某卫浴门店收集人脸数据的问题。该卫浴门店在全国上千家门店,每个门店安装有人脸识别功能的摄像头,消费者只要走进门店,在不知情的情况下,就会被摄像头抓取并自动生成编号,标注顾客第几次到店、男女、年龄等信息。所涉收集人脸数据,能通过人脸识别信息解决精准营销,抓取的人脸数据信息累计上亿。

安防公司泄露人脸信息。2019年2月,深圳某“AI+安防”公司人脸识别数据库缺乏保护,导致大规模的数据泄露。该数据库包含了超过256万用户的信息,包括身份证号码、地址、出生日期、识别其身份的位置。

人脸信息被大量低价兜售。2019年媒体报道,人脸信息在网上被公开兜售,5000多张人脸图片打包只要10元钱。更有报道,大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套,动态软件将人脸照片制作成“动态视频”只要几元,以完成各类线上业务人脸识别的验证。

小偷戴面具骗过小区门禁。2019年,济南某小区接连遭窃。警方发现,小偷使用从网上购买的“人皮面具”通过小区门禁,轻松进入。

现场打印人像照片登录他人账号。2017年“315”晚会上,主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了“刷脸登录”认证系统。

睡梦中账号被刷脸登录。2021年,28岁男子黄某辉趁前女友董某熟睡,翻开董某的眼皮,通过人脸识别,登录账号,分多次从董某的花呗、借呗、支付宝余额和银行卡转走人民币共15.41万元,最后通过套现将这些钱转到自己手机上。最终,男子黄某辉被判处有期徒刑三年六个月,并处罚金人民币2万元。

储户百元万存款被深夜刷脸盗走。2022年7月,两大银行爆出的人脸识别系统漏洞,多名储户的数百万存款被异地“刷脸”盗取。

人脸信息遭冒用储户莫名背上贷款。2021年,广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户王兰(化名)在遗失了身份证后,却被人冒用身份通过银行的“人脸识别”贷款,导致王兰因逾期被告上了法庭。经司法笔迹鉴定,认为案涉客户签名并非王兰本人签署,手机号码亦未曾登记在王兰名下。最终,法院驳回银行全部诉讼请求。

黑灰产盗用人脸数据疯狂借贷。2020年10月,四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频,借助“僵尸企业”“空壳公司”,为6000多人人包装公积金信息,然后向多家银行申请公积金贷款,最终带来10亿多元的坏账。

破解人脸系统进行虚假打卡。2021年底,“考勤打卡神器”的新闻刷屏网络。就职于某保险公司的梁女士,每天无需到公司上班,通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,代理人输入自己的工号、上传照片,在家里就能完成每日打卡并拿到全勤奖。

人脸风险背后的攻击手段

顶象最新发布的《人脸识别安全白皮书》显示,当前阶段人脸风险主要集中在人脸信息泄露、人脸识别算法不精准和人脸识别系统不安全等三个方面。

一、人脸信息泄露

人脸是重要的隐私信息,利用各种技术和手段,在未经同意允许或批准的前提下,通过公开或非法手段,收集、保存、盗取正常的人脸数据,一旦信息出现泄露,不仅被不法分子进行用于诈骗,更可能被反复贩卖牟利。

二、人脸识别算法不精准

戴上眼镜、帽子、面具,或者制作高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均,骗过人脸识别算法和活体监测算法。

虚假人脸。使用静态照片、通过播放预录制动态视频、利用图像处理或三维建模软件将照片转换为动态视频,混淆人脸识别判断。

人脸改造。戴上眼镜、帽子、面具等伪装手段,或者制作高仿模型、将2D人脸照片3D建模、照片活化等方式,骗过人脸识别检测。

技术换脸。通过AI算法,将视频中的人物面容替换为他人面容。或者通过AI换脸技术,将一张普通的静态照片,转化生成一张表情生动的人脸,甚至可以轻松地贴在另一个人的脸上,随着另一个人的动作和表情自动变化。

三、人脸识别系统不安全

破解人脸识别应用或安全保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。

破解系统代码。破解人脸识别系统代码、人脸识别应用的代码,篡改人脸识别代码的逻辑,或者注入攻击脚本,改变其执行流程,人脸识别系统按照攻击者设定的路径进行访问、反馈。

劫持摄像头。通过入侵人脸识别设备,或在设备上植入后门,通过刷入特定的程序来劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验。

篡改传输报文。通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。

顶象《人脸识别安全白皮书》共有8章73节,系统对人脸识别的组成、人脸识别的内在缺陷、人脸识别的潜在安全隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。

相关文章
|
4月前
|
SQL 安全 网络安全
网络防御前线:漏洞识别与加密技术的实战应用
【8月更文挑战第31天】在数字化浪潮下,网络安全成为守护数据资产的盾牌。本文深入浅出地探讨了网络安全漏洞的成因与对策,并结合实例展示了加密技术的应用。通过提升安全意识与实践操作,我们能够有效防范网络威胁,保护个人与企业的信息不受侵害。
|
7月前
|
存储 监控 安全
网络防御前线:洞悉漏洞、加密与意识
【5月更文挑战第2天】在数字化时代,网络安全已成为维护信息完整性、确保通信保密性和保障系统可用性的基石。本文将探讨网络安全的关键领域,包括识别和防范安全漏洞的策略、加密技术的应用以及提升个体和企业的安全意识。通过深入分析这些领域,我们旨在为读者提供一套综合的网络防护方法,以应对不断演变的安全威胁。
|
存储 运维 安全
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
179 0
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
|
机器学习/深度学习 安全 算法
顶象业务安全情报如何帮助企业“弄懂”黑灰产?
顶象业务安全情报——企业一眼“看透”黑灰产
152 0
|
机器学习/深度学习 安全 大数据
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
|
SQL 算法 安全
基于关系的违规团伙发掘风控方案
目前很多平台方都有团伙作案的情况发生,比如团伙性薅羊毛,比如团伙性的制造一些虚假信息,团伙性发送违法广告。之所以是团伙性作案,因为作案人员之间有某种关系连接。当业务方获取了人员关系之后,能否成功挖掘出违规团伙,关系到平台的安全。
3386 0
|
安全 网络安全
【聚能聊】网络安全事件频发,怎么保护自己的生物识别信息
随着科技的进步,越来越多的生物识别技术被应用到生活和工作中。像最常见的指纹识别和人脸识别,还有三星S8的虹膜识别,以及部分语音应用的声纹识别。当然,在公安系统还有步态特征识别等等。这些生物识别技术确实为人们提供了巨大的便利,但是他们真的足够安全吗? 上周有幸参加了一个互联网+的网络安全研修班,从公安部门网安总队的总工程师到阿里安全应急响应的负责人贤唐,都有来讲课、演示。
4313 0
下一篇
DataWorks