月前，一篇《一部手機(jī)失竊而揭露的竊取個(gè)人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》(原作者已刪除)引發(fā)熱議。作者老駱駝講述自己家人手機(jī)被盜之后，經(jīng)歷了一場(chǎng)與一伙專業(yè)老練、利用竊取個(gè)人信息盜取他人銀行賬戶資金的犯罪團(tuán)伙斗智斗勇的事件。文章提到了眾多企業(yè)，也引發(fā)了眾多網(wǎng)友對(duì)人臉信息安全的擔(dān)憂。

黑產(chǎn)竊取個(gè)人信息實(shí)現(xiàn)資金盜取流程示意

10月10日消息，支付寶相關(guān)部門人員回應(yīng)稱，支付寶“非攻”安全實(shí)驗(yàn)室的同學(xué)第一時(shí)間和老駱駝聯(lián)系上了，并了解了相關(guān)情況?；貞?yīng)指出，文章所披露的黑產(chǎn)在支付寶里沒套到錢和信息;且支付寶承諾資金被盜全額賠付，包括手機(jī)丟失導(dǎo)致的。

在后續(xù)的具體回復(fù)中，支付寶相關(guān)部門人員還指出黑產(chǎn)并沒有突破(支付寶)人臉識(shí)別，能注冊(cè)新號(hào)是通過其他渠道已掌握的身份信息和短信驗(yàn)證碼，在常用設(shè)備上實(shí)現(xiàn)的。

人臉識(shí)別的應(yīng)用危局

當(dāng)下，人臉識(shí)別技術(shù)作為人工智能與大數(shù)據(jù)技術(shù)發(fā)展的產(chǎn)物，近年來，隨著世界范圍內(nèi)的人臉識(shí)別技術(shù)研發(fā)的突破，已經(jīng)被廣泛應(yīng)用于如行政服務(wù)、金融業(yè)務(wù)、單位考勤、門禁系統(tǒng)以及司法辦案之中。

“人臉解鎖”、“刷臉支付”、“刷臉進(jìn)出”為百姓生活中的一部分，但人們?cè)谙硎芷浣o工作和生活帶來便利的同時(shí)，基于此產(chǎn)生的數(shù)據(jù)隱私安全性問題也引起了社會(huì)普遍的關(guān)注，如何對(duì)其設(shè)置更為合理和科學(xué)的監(jiān)管規(guī)則來保護(hù)個(gè)人隱私與數(shù)據(jù)安全成為時(shí)代的難題。

標(biāo)準(zhǔn)所造成的困境

而另一個(gè)令人憂心的現(xiàn)實(shí)是，當(dāng)下除開金融機(jī)構(gòu)之外，對(duì)個(gè)人信息保護(hù)并沒有一個(gè)國家標(biāo)準(zhǔn)，同時(shí)由于其性質(zhì)與金融行業(yè)不同，敏感性較低，因此在大多數(shù)情況下采用的人臉識(shí)別系統(tǒng)都較為落后。

除此之外，根據(jù)廣西某公司員工爆料，目前市面上人臉識(shí)別系統(tǒng)比較大的問題在于買不起。該員工稱，她購買國內(nèi)某個(gè)知名CV企業(yè)的108點(diǎn)人臉識(shí)別系統(tǒng)(注①)，對(duì)方報(bào)價(jià)要30余萬元，但購買名號(hào)稍小的企業(yè)系統(tǒng)對(duì)方的質(zhì)量又難以把握。幾經(jīng)挑選，最后選擇了某美妝軟件的人臉識(shí)別系統(tǒng)。

而這又引發(fā)了另一個(gè)問題，在試圖使用人臉識(shí)別這一技術(shù)的眾多企業(yè)中，中小企業(yè)無力承擔(dān)優(yōu)秀系統(tǒng)所帶來的成本問題，而較為落后的人臉識(shí)別系統(tǒng)雖然便宜，但卻有可能影響安全，這幾乎成為了一個(gè)死循環(huán)。

那么在標(biāo)準(zhǔn)的缺失與成本的影響這雙重因素下，就極為容易讓資本在逐利的過程中產(chǎn)生這樣一種舉措：“沒錢買好的就用相對(duì)一般的，左右沒有標(biāo)準(zhǔn)規(guī)定什么級(jí)別的人臉識(shí)別技術(shù)才允許被使用。”

妥協(xié)下的應(yīng)用

除卻上文中的標(biāo)準(zhǔn)問題外，人臉識(shí)別自身的技術(shù)問題也極易讓企業(yè)為了用戶體驗(yàn)而妥協(xié)。

具體來說，圖像質(zhì)量越差，那么人臉識(shí)別的準(zhǔn)確率就越低。因此在日常應(yīng)用中，由于模糊、遮擋、大角度、逆光暗光等復(fù)雜環(huán)境引起的人臉圖像質(zhì)量問題會(huì)導(dǎo)致人臉識(shí)別準(zhǔn)確率過低，需要多次重復(fù)識(shí)別才能成功，從而整體耗時(shí)被大大拉長。

在人臉識(shí)別技術(shù)的應(yīng)用中，無論是早已融入我們?nèi)粘５囊苿?dòng)端應(yīng)用，亦或是人臉識(shí)別閘機(jī)等安防端應(yīng)用中，多次識(shí)別不通過、不停變換人臉角度等待識(shí)別通過的尷尬場(chǎng)景多有遇到。

從用戶體驗(yàn)的角度來說，人臉識(shí)別對(duì)于用戶而言并非是不可或缺的“安全選擇”，對(duì)于移動(dòng)端用戶來說，密碼、指紋識(shí)別等安防手段早已移植并成熟，而對(duì)于閘機(jī)等安防端應(yīng)用所服務(wù)的客戶來說，指紋、射頻卡等原有成熟模式依舊可以為其服務(wù)。

這就導(dǎo)致另一個(gè)現(xiàn)象，一但用戶體驗(yàn)過差，那么輕則將人臉識(shí)別技術(shù)擱置不用，重則還會(huì)對(duì)品牌的口碑造成不可挽回的下滑。在這種“脅迫”下，有不少企業(yè)選擇降低人臉識(shí)別技術(shù)的關(guān)鍵點(diǎn)位，對(duì)用戶體驗(yàn)、口碑進(jìn)行妥協(xié)，也是過去人臉識(shí)別技術(shù)頻頻被破解的原因之一。

日常威脅不止步于人臉

對(duì)于當(dāng)前的人臉識(shí)別危局來說，適當(dāng)?shù)奶嵘惴稍谙喈?dāng)程度上降低人臉識(shí)別被破解的風(fēng)險(xiǎn)，例如為支付寶提供技術(shù)支持的曠視已具備千點(diǎn)級(jí)別關(guān)鍵檢測(cè)能力。相較于第一代關(guān)鍵點(diǎn)，千點(diǎn)可以將人臉的臉型、眉毛、眼睛、鼻子、嘴等部位完全勾勒出形狀，進(jìn)行更為精確的人臉識(shí)別。

另外對(duì)于用戶的體驗(yàn)而言，實(shí)質(zhì)上可采取技術(shù)手段進(jìn)行彌補(bǔ)而非妥協(xié)，去除低質(zhì)量圖片，將篩選后質(zhì)量符合標(biāo)準(zhǔn)的圖像才送往下一個(gè)流程中，可令識(shí)別效率將大大提升。

基于特征提取原理，可通過神經(jīng)網(wǎng)絡(luò)從海量數(shù)據(jù)中學(xué)習(xí)獲取人臉質(zhì)量檢測(cè)關(guān)注的特征(主要包括光線、模糊、角度、遮擋、表情、噪聲等)并進(jìn)行質(zhì)量判斷。

而回歸日常，就本次事件來說，由于手機(jī)號(hào)嗅探和短信嗅探，前者可以捕獲周圍在網(wǎng)的手機(jī)號(hào)，后者可以在 2G 網(wǎng)絡(luò)下嗅探到某個(gè)手機(jī)號(hào)的短信。因此即便是你在鎖屏狀態(tài)下隱藏了通知詳情，即便是你有 SIM 卡 PIN，攻擊者仍然可以通過這種技術(shù)獲取手機(jī)的驗(yàn)證碼，進(jìn)而展開相同的攻擊，這一點(diǎn)也值得我們引起注意。

不過令人慶幸的是，無論短信嗅探還是手機(jī)號(hào)嗅探，都只在 2G 網(wǎng)絡(luò)下才能進(jìn)行。當(dāng)然，這對(duì)攻擊者并不難，一方面攻擊者可以找一個(gè) 3G 4G 信號(hào)不好只能連入 2G 的環(huán)境進(jìn)行攻擊，另一方面攻擊者也可以展開降級(jí)攻擊 將連入 LTE 網(wǎng)絡(luò)的手機(jī)降到 2G，這個(gè)技術(shù)也算非常成熟的。

怎么防這套攻擊呢?很簡(jiǎn)單，在蜂窩移動(dòng)網(wǎng)絡(luò)設(shè)置里面將網(wǎng)絡(luò)模式設(shè)置為僅 4G，或者 5G/4G 即可。