智慧城市网

登录

人脸识别易破解不安全?其实是打开方式不正确

来源:梆梆安全Woodpecker
2017/3/20 9:28:1137034
  【中国安防展览网 企业关注】 今年的3.15主题为“用责任汇聚诚信的力量”,网络安全也从前几年的节选报道,一跃成为今年的重点关注领域。今年的央视3.15除了继续聚焦食品、药品、保健品行业外,仍将网络信息安全作为晚会的一个重点贯穿整场,“电信诈骗”、“个人信息泄露”、“人脸识别破解”、“二维码安全”一件件与我们生活息息相关的事件,触目惊心现场实验,看后不禁让人后怕。
 
  央视3.15晚会现场,主持人打开手机软件当中的人脸识别界面,在技术专家的帮助下,让自己的一张自拍照变成会眨眼的动态照片,以此攻破了人脸识别认证。
 


人脸识别易破解不安全?其实是打开方式不正确

 
  破解人脸识别四连击
 
  击:技术“肢解”人脸识别
 
  现在许多APP自身并没有精力、经验去研发人脸识别,所以都是通过第三方API接口或SDK组件来获得人脸识别这项身份认证功能。这意味着,一旦APP应用自身安全防护强度不够,攻击者就可以通过反编译APP应用程序,修改其程序储存值的方式绕过人脸识别。或者分析APP数据结构,通过修改入参字典的方式篡改活体检测完成后的图片,实现对人脸识别的破解。
 
  第二击:安全缺陷绕过人脸识别
 
  安全研究人员发现,部分APP在使用人脸识别技术时,没有对图像数据进行签名,或者没有给数据报文加入时间戳,导致某些关键识别数据可被截获、篡改。而有些APP为了提高人脸识别成功率所设置的“匹配阈值”也容易被破解调低,导致人脸识别功能失效。
 
  第三击:变脸攻击欺骗人脸识别
 
  今年“3·15晚会”上演示的是通过Photospeak软件进行“变脸”术,来破解人脸识别中的活体检测关。那么从理论上推断,一段足够清晰的人物正面视频也可以把“写在脸上的密码”录制下来,对人脸识别进行欺骗。
 
  第四击:脸部模型冒充通过人脸识别
 
  对于安全鉴别度低的人脸识别,安全研究人员甚至可以通过3D建模,构建人脸模型的方式实行破解。
 
  封堵安全缺陷 
 
  通过深入分析破解人脸识别的各种技术与方法后能够发现,正是由于各类安全缺陷的存在,使得人脸识别遭遇了“信任危机”。那么要想这一问题,就需要从封堵安全缺陷着手开始。
 
  拆弹第1步:为APP搭建防爆墙
 
  自身防护能力薄弱的APP,很容易让人脸识别成为马奇诺防线。所以需要增强APP自身安全强度,通过dex加壳、内存防护、so库文件加密、资源文件加密等多种APP安全加固技术协同实施保护,达到增强APP静态安全、动态安全、交易验证安全、数据安全以及发布完整性的目标,抵御反编译、恶意篡改、二次打包等入侵攻击行为。
 
  同时也要对SDK实施安全加固保护,例如进行Jar包源代码动态加密、本地数据文件动态加密、so代码段加密、so数据段加密、so函数表加密、SDK完整性校验、SDK防调试保护等。
 
  通过对APP实施多重加固安全保护,消除各类安全缺陷,能够防止“堡垒被从内部攻破”问题的出现。
 
  拆弹第2步:多因子认证打造身份认证立体防御体系
 
  在许多安全性高的应用场景里,人脸识别其实仅仅是其身份认证中的一个环节。除了传统的账号、密码、认证码等身份认证外,还会引入指纹识别、语音识别、虹膜识别等更多身份认证环节。以这种多层次、交叉识别多因子认证的方式,整体增强身份认证的强度,极大的降低了身份认证被攻破的可能性。
 
  拆弹第3步:用户画像提升人工智能认知安全
 
  如今异常火爆的人工智能领域里,人脸识别是人工智能系统认知外界、获取外部信息的一个重要基础渠道。这一问题的出现,将把人工智能炸的晕头转向,甚至使其错招频出。
 
  那么除了要增强人工智能相关模块的代码安全性外,还可以借助用户画像技术,通过分析用户的日常行为特征,辅以威胁情报信息,帮助人工智能构建、明确“你就是你——Only You”,提升人工智能的认知安力。
 
  孤立的安全不可取
 
  “3·15晚会”上破解人脸识别的演示,更多是要告诫广大消费者们,随着人们连接进入网络的手段方式愈加丰富,*分子的可攻击面也变得“丰富”起来。仅靠密码、手机短信认证、人脸识别等单一的安全防护手段,已经无法实现对自身安全的有效保护。同时也再一次提醒相关厂商,需要建立起足够广度与深度的多维度、多因子身份认证安全系统防线,孤立安全防护的时代已经谢幕!

上一篇:无人机在国外应用已风生水起 盘点21个典型案例

下一篇:选购智能锁不迟疑 质量好不好看四点

相关资讯:

首页|导航|登录|关于本站|联系我们