再爆“盗脸”安全事件,梆梆安全深度解析人脸识别攻击与防护
作者: 日期:2022年07月25日 阅:3,135

近年来,人工智能、机器视觉、大数据等技术迅猛发展,人脸识别技术已广泛应用于安防、金融、交通、楼宇等较为成熟的领域,且在零售、广告、智能终端、教育、医疗、娱乐等日常生活场景中普遍存在,为经济社会的发展以及人们日常生活的便捷带来了新机遇。

但随之带来的安全隐患也备受争议。近日,一则“银行人脸识别系统被攻破”的新闻引发了广泛关注。某大行一位储户陷入诈骗分子圈套,导致银行卡和密码等信息被获取、手机短信被拦截,此后又下载了骗子提供的视频会议软件,被犯罪分子诱导进行屏幕共享,导致被对方“盗脸”,最终被骗走42.9万元。犯罪分子转账使用了短信+人脸识别的方式,6次成功绕过银行客户端的安全防线。一时之间, “人脸识别”的安全性与必要性再一次被大众质疑。不少用户担忧,自己的“脸”是否安全。对此,梆梆安全专家结合当前人脸识别的安全风险、攻击方式等,从专业视角提供多角度的安全建议。

人脸识别安全风险

01 业务违规

攻击者能够使用多种不同的攻击技术,利用在黑灰产界获取的一批真实身份证及照片信息,绕过现有App的人脸活体检测等前端校验机制,盗用他人信息完成非本人在场的业务交易,最终实现虚假开卡、虚假开户、虚假签到、账号及信息窃取等业务违规目的。

去年7月,人民网曝光了一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息、“照片活化”工具和教程牟利的事件。不法分子将人脸照片利用技术“活化”,实现眨眼、张嘴、点头等动作,更令人大跌眼镜的是,人脸数据5毛钱一份、“活化”软件加教程35元一套、网络交易平台搜索即出,这一切与人脸识别本应具有的严谨性和保密性,大相径庭。

02 合规风险

合规是对企业移动应用最基本的要求,业务违规将会对企业的业务安全及合规造成重大风险,如违规开银行账户导致的监管合规风险;监管部门需要不断加大人脸识别场景风险排查力度,而企业如何排查,人脸识别风险到底有哪些,需要在哪些方面进行防护,诸多新增的挑战无疑会造成沉重的合规负担。

人脸识别常见攻击方式

01 人脸物理绕过攻击

使用照片、视频播放等方式,尝试欺骗摄像头采集的数据,欺骗目标App采集伪造数据。主要包含以下5种:

1. 打印数字照片:攻击者获取到被冒充者的真人照片,使用App对照片进行直接拍摄。

2. 高清视频:攻击者准备被攻击者的一段真人视频,或经过图像处理获得合成视频,展示在显示屏上(高清手机屏、retina高清、iPad屏、4K屏等)使用活体App进行拍摄。

3. 三维面具:攻击者头戴被假冒者的仿制硅胶和塑料面具进行拍摄,此类攻击因为面具的高度还原性,对活体检测造成很大挑战。此类攻击的成本在所有素材攻击类型里也是最高的。

(图片来源于网络)

4. AI换脸:攻击者通过AI算法能力合成目标用户视频/图像,并通过手机注入手段来进行视频替换,以绕过活体检测。

5. T形眼镜:攻击者获取到被冒充者的真人照片,保留眼睛T型区域,当作面具戴在脸上进行拍摄攻击。这类攻击能够保留很大一部分被冒充者的人脸特征,同时比照片和电子屏幕攻击增加了3D人脸特征,是黑产用来攻击动作活体的常见形式。

(图片来源于网络)

02 内核、系统层人脸替换攻击
通过定制ROM,篡改摄像头等关键硬件系统库,实现从底层代码的篡改,使得攻击者可以完全控制摄像头信息的获取方式。

03App内存人脸数据替换攻击

利用多种Hook机制,对图像数据采集、活体识别机制、业务逻辑函数、加密解密函数进行劫持,替换数据或者破坏逻辑。

04流量层人脸数据替换攻击
在App传递信息到服务端之前,截获数据包,篡改替换为攻击者已经获取的一批身份信息+人脸图片信息。

05业务逻辑绕过攻击
利用人脸识别相关的业务逻辑,进行人脸识别绕过,如业务逻辑漏洞、数据泄露、越权访问等安全风险。

梆梆安全人脸识别安全建议

有效防范人脸识别技术可能带来的风险需要从完善相关法规政策、加强政府监管、提高行业自律和提升个体素养等层面系统进行规避。

完善相关法规政策:

需尽快完善包括人脸识别在内的人体生物信息使用法律法规。应划定人脸识别技术使用边界,并建立人脸识别技术应用申报备案和审批制度。遵循“必要性”原则,防止因商业利益滥用此技术。

加强政府监管:

采集人脸数据前须告知用途和可能风险,以保障公众知情权与选择权,防止企业过度收集和利用。对人脸数据存储权限做出明确规定,确保数据在采集、传输、使用和存储过程中的安全性。此外,人脸数据应采取本地存储方式,并禁止跨境流动。根据数据用途,明确规定人脸数据的存储主体、时限和采集,以最大限度保证数据安全。

建立行业自律:

应建立健全的行业组织,建立人脸识别行业自律准则。在数字时代,技术发展日新月异,因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展。

提升个人素养:

认识人脸数据的价值,增强隐私自我保护意识。当前,人脸识别技术正处于快速应用之中,个人在面临各种信息采集的同时,必须要增强自我隐私保护意识,认真阅读相关隐私条款,对于信任度有存疑可能的应用,应当明确拒绝其信息收集行为,警惕个人隐私泄漏风险。

梆梆安全守护您的人脸安全

针对“人脸识别”技术相关风险,作为“护脸计划”首批成员单位(点击蓝色字可阅读原文),梆梆安全自主研发的移动应用安全监测平台,不依赖用户的业务数据,不依赖现有的黑产数据,部署简单方便有效,能够从移动应用运行时的环境进行感知分析,为用户快速建立事前、事中、事后的移动应用安全态势感知体系,实现在应用软件每次启动时,通过检测系统关键函数、信息上报、分析研判、人脸识别绕过阻断等技术手段,实现对风险的感知及防御。

目前,梆梆安全人脸识别业务安全防护解决方案,通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛,利用安全监测与业务系统的联动,解决应用运行过程中出现的前端技术类攻击行为,成功案例遍及金融、政府、运营商等诸多行业。未来,梆梆安全将秉承“保护您的软件”使命,在人脸识别领域持续加大研发投入,始终以客户为中心,通过专业的安全产品和服务,致力保障用户人脸信息安全,为政府、企业、开发者和消费者打造安全、稳固、可信的网络空间生态环境。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章