人脸识别滑铁卢?拆解“变脸炸弹”急救包
导言:今年央视“3·15晚会”上一个“变脸”身份证破解的演示,让许多人都出了一身冷汗!人脸识别技术即将大溃败?与人脸识别关系紧密的金融在线支付认证、人工智能等行业领域将遭受强飓风摧残?
今年央视“3·15晚会”上一个“变脸”身份证破解的演示,让许多人都出了一身冷汗!人脸识别技术即将大溃败?与人脸识别关系紧密的金融在线支付认证、人工智能等行业领域将遭受强飓风摧残?
其实在安全技术人员的眼里,破解人脸身份认证的方法还有很多。
破解人脸识别四连击
第一击:技术“肢解”人脸识别
现在许多APP开发者自身并没有精力、经验去研发人脸识别,所以都是通过第三方API接口或SDK组件来获得人脸识别这项身份认证功能。这意味着,一旦APP应用自身安全防护强度不够,攻击者就可以通过反编译APP应用程序,修改其程序储存值的方式绕过人脸识别。或者分析APP数据结构,通过修改入参字典的方式篡改活体检测完成后的图片,实现对人脸识别的破解。
第二击:安全缺陷绕过人脸识别
安全研究人员发现,部分APP在使用人脸识别技术时,没有对图像数据进行签名,或者没有给数据报文加入时间戳,导致某些关键识别数据可被截获、篡改。而有些APP为了提高人脸识别成功率所设置的“匹配阈值”也容易被破解调低,导致人脸识别功能失效。
第三击:变脸攻击欺骗人脸识别
今年“3·15晚会”上演示的是通过Photospeak软件进行“变脸”术,来破解人脸识别中的活体检测关。那么从理论上推断,一段足够清晰的人物正面视频也可以把“写在脸上的密码”录制下来,对人脸识别进行欺骗。
第四击:脸部模型冒充通过人脸识别
对于安全鉴别度低的人脸识别,安全研究人员甚至可以通过3D建模,构建人脸模型的方式实行破解。
封堵安全缺陷 拆解“变脸炸弹”
通过深入分析破解人脸识别的各种技术与方法后能够发现,正是由于各类安全缺陷的存在,使得人脸识别遭遇了“信任危机”。那么要想拆解这枚“变脸炸弹”,就需要从封堵安全缺陷着手开始。
拆弹第1步:为APP搭建防爆墙
自身防护能力薄弱的APP,很容易让人脸识别成为马奇诺防线。所以需要增强APP自身安全强度,通过dex加壳、内存防护、so库文件加密、资源文件加密等多种APP安全加固技术协同实施保护,达到增强APP静态安全、动态安全、交易验证安全、数据安全以及发布完整性的目标,抵御反编译、恶意篡改、二次打包等入侵攻击行为。
同时也要对SDK实施安全加固保护,例如进行Jar包源代码动态加密、本地数据文件动态加密、so代码段加密、so数据段加密、so函数表加密、SDK完整性校验、SDK防调试保护等。
通过对APP实施多重加固安全保护,消除各类安全缺陷,能够防止“堡垒被从内部攻破”问题的出现。
拆弹第2步:多因子认证打造身份认证立体防御体系
在许多安全性高的应用场景里,人脸识别其实仅仅是其身份认证中的一个环节。除了传统的账号、密码、认证码等身份认证外,还会引入指纹识别、语音识别、虹膜识别等更多身份认证环节。以这种多层次、交叉识别多因子认证的方式,整体增强身份认证的强度,极大的降低了身份认证被攻破的可能性。
拆弹第3步:用户画像提升人工智能认知安全
如今异常火爆的人工智能领域里,人脸识别是人工智能系统认知外界、获取外部信息的一个重要基础渠道。“变脸炸弹”的出现,将把人工智能炸的晕头转向,甚至使其错招频出。
那么除了要增强人工智能相关模块的代码安全性外,还可以借助用户画像技术,通过分析用户的日常行为特征,辅以威胁情报信息,帮助人工智能构建、明确“你就是你——Only You”,提升人工智能的认知安全能力。
孤立的安全不可取
“3·15晚会”上“变脸炸弹”破解人脸识别的演示,更多是要告诫广大消费者们,随着人们连接进入网络的手段方式愈加丰富,犯罪分子的可攻击面也变得“丰富”起来。仅靠密码、手机短信认证、人脸识别等单一的安全防护手段,已经无法实现对自身安全的有效保护。同时也再一次提醒相关厂商,需要建立起足够广度与深度的多维度、多因子身份认证安全系统防线,孤立安全防护的时代已经谢幕!
免责声明:
※ 以上所展示的信息来自媒体转载或由企业自行提供,其原创性以及文中陈述文字和内容未经本网站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。如果以上内容侵犯您的版权或者非授权发布和其它问题需要同本网联系的,请在30日内进行。
※ 有关作品版权事宜请联系中国企业新闻网:020-34333079 邮箱:cenn_gd@126.com 我们将在24小时内审核并处理。
相关网文
一周新闻资讯点击排行