2017年央視“3·15晚會(huì)”上一個(gè)“變臉”身份證破解的演示，讓許多人都出了一身冷汗!人臉識(shí)別技術(shù)即將大潰敗?與人臉識(shí)別關(guān)系緊密的金融在線支付認(rèn)證、人工智能等行業(yè)領(lǐng)域?qū)⒃馐軓?qiáng)颶風(fēng)摧殘?

其實(shí)在安全技術(shù)人員的眼里，破解人臉身份認(rèn)證的方法還有很多。

[[185732]]

破解人臉識(shí)別四連擊

第一擊：技術(shù)“肢解”人臉識(shí)別

現(xiàn)在許多APP開發(fā)者自身并沒(méi)有精力、經(jīng)驗(yàn)去研發(fā)人臉識(shí)別，所以都是通過(guò)第三方API接口或SDK組件來(lái)獲得人臉識(shí)別這項(xiàng)身份認(rèn)證功能。這意味著，一旦APP應(yīng)用自身安全防護(hù)強(qiáng)度不夠，攻擊者就可以通過(guò)反編譯APP應(yīng)用程序，修改其程序儲(chǔ)存值的方式繞過(guò)人臉識(shí)別?；蛘叻治鯝PP數(shù)據(jù)結(jié)構(gòu)，通過(guò)修改入?yún)⒆值涞姆绞酱鄹幕铙w檢測(cè)完成后的圖片，實(shí)現(xiàn)對(duì)人臉識(shí)別的破解。

第二擊：安全缺陷繞過(guò)人臉識(shí)別

安全研究人員發(fā)現(xiàn)，部分APP在使用人臉識(shí)別技術(shù)時(shí)，沒(méi)有對(duì)圖像數(shù)據(jù)進(jìn)行簽名，或者沒(méi)有給數(shù)據(jù)報(bào)文加入時(shí)間戳，導(dǎo)致某些關(guān)鍵識(shí)別數(shù)據(jù)可被截獲、篡改。而有些APP為了提高人臉識(shí)別成功率所設(shè)置的“匹配閾值”也容易被破解調(diào)低，導(dǎo)致人臉識(shí)別功能失效。

第三擊：變臉攻擊欺騙人臉識(shí)別

今年“3·15晚會(huì)”上演示的是通過(guò)Photospeak軟件進(jìn)行“變臉”術(shù)，來(lái)破解人臉識(shí)別中的活體檢測(cè)關(guān)。那么從理論上推斷，一段足夠清晰的人物正面視頻也可以把“寫在臉上的密碼”錄制下來(lái)，對(duì)人臉識(shí)別進(jìn)行欺騙。

第四擊：臉部模型冒充通過(guò)人臉識(shí)別

對(duì)于安全鑒別度低的人臉識(shí)別，安全研究人員甚至可以通過(guò)3D建模，構(gòu)建人臉模型的方式實(shí)行破解。

封堵安全缺陷 拆解“變臉炸彈”

通過(guò)深入分析破解人臉識(shí)別的各種技術(shù)與方法后能夠發(fā)現(xiàn)，正是由于各類安全缺陷的存在，使得人臉識(shí)別遭遇了“信任危機(jī)”。那么要想拆解這枚“變臉炸彈”，就需要從封堵安全缺陷著手開始。

拆彈第1步：為APP搭建防爆墻

自身防護(hù)能力薄弱的APP，很容易讓人臉識(shí)別成為馬奇諾防線。所以需要增強(qiáng)APP自身安全強(qiáng)度，通過(guò)dex加殼、內(nèi)存防護(hù)、so庫(kù)文件加密、資源文件加密等多種APP安全加固技術(shù)協(xié)同實(shí)施保護(hù)，達(dá)到增強(qiáng)APP靜態(tài)安全、動(dòng)態(tài)安全、交易驗(yàn)證安全、數(shù)據(jù)安全以及發(fā)布完整性的目標(biāo)，抵御反編譯、惡意篡改、二次打包等入侵攻擊行為。

同時(shí)也要對(duì)SDK實(shí)施安全加固保護(hù)，例如進(jìn)行Jar包源代碼動(dòng)態(tài)加密、本地?cái)?shù)據(jù)文件動(dòng)態(tài)加密、so代碼段加密、so數(shù)據(jù)段加密、so函數(shù)表加密、SDK完整性校驗(yàn)、SDK防調(diào)試保護(hù)等。

通過(guò)對(duì)APP實(shí)施多重加固安全保護(hù)，消除各類安全缺陷，能夠防止“堡壘被從內(nèi)部攻破”問(wèn)題的出現(xiàn)。

拆彈第2步：多因子認(rèn)證打造身份認(rèn)證立體防御體系

在許多安全性高的應(yīng)用場(chǎng)景里，人臉識(shí)別其實(shí)僅僅是其身份認(rèn)證中的一個(gè)環(huán)節(jié)。除了傳統(tǒng)的賬號(hào)、密碼、認(rèn)證碼等身份認(rèn)證外，還會(huì)引入指紋識(shí)別、語(yǔ)音識(shí)別、虹膜識(shí)別等更多身份認(rèn)證環(huán)節(jié)。以這種多層次、交叉識(shí)別多因子認(rèn)證的方式，整體增強(qiáng)身份認(rèn)證的強(qiáng)度，極大的降低了身份認(rèn)證被攻破的可能性。

拆彈第3步：用戶畫像提升人工智能認(rèn)知安全

如今異?；鸨娜斯ぶ悄茴I(lǐng)域里，人臉識(shí)別是人工智能系統(tǒng)認(rèn)知外界、獲取外部信息的一個(gè)重要基礎(chǔ)渠道。“變臉炸彈”的出現(xiàn)，將把人工智能炸的暈頭轉(zhuǎn)向，甚至使其錯(cuò)招頻出。

那么除了要增強(qiáng)人工智能相關(guān)模塊的代碼安全性外，還可以借助用戶畫像技術(shù)，通過(guò)分析用戶的日常行為特征，輔以威脅情報(bào)信息，幫助人工智能構(gòu)建、明確“你就是你——Only You”，提升人工智能的認(rèn)知安全能力。

孤立的安全不可取

“3·15晚會(huì)”上“變臉炸彈”破解人臉識(shí)別的演示，更多是要告誡廣大消費(fèi)者們，隨著人們連接進(jìn)入網(wǎng)絡(luò)的手段方式愈加豐富，犯罪分子的可攻擊面也變得“豐富”起來(lái)。僅靠密碼、手機(jī)短信認(rèn)證、人臉識(shí)別等單一的安全防護(hù)手段，已經(jīng)無(wú)法實(shí)現(xiàn)對(duì)自身安全的有效保護(hù)。同時(shí)也再一次提醒相關(guān)廠商，需要建立起足夠廣度與深度的多維度、多因子身份認(rèn)證安全系統(tǒng)防線，孤立安全防護(hù)的時(shí)代已經(jīng)謝幕!