最近很火的人臉識別聽說被“吊打”了

OFweek安防網訊 一人，一車，一司機，故事還得從一次乘坐“黑 Uber”的經歷說起 。
車到了，可疑的是，接我的司機、車的資訊，與手機用戶端上顯示的完全不符，但為了趕緊回家，我顧不了太多便上了車，結果司機開了不到一分鐘，就回頭對我說：“我要取消優步訂單了，等會兒你直接給我錢就行 ”，在我的一再拒絕下，司機說可以把我送回原處，讓我重新打個計程車回去。
結果當我再次用優步打車，發現來接我的居然還是那個司機！司機說：“你要麼就打個計程車回去，只要你還用優步，打到的還是我的車！”
當時我就納悶了，為什麼還是你的車？why？
原來，附近有個由30多個黑車司機組成的車隊，每個司機都有一堆虛假的優步帳號，上百個帳號由同一個人來統一接單，然後通過電臺調度車輛去接人，因此不管你打到哪個號，都會調我去接人，而且就算是別人去接你，也是一樣的流程。
於是我感到奇怪，Uber 明明在今年4月份在APP上新增的人臉識別功能，為什麼這些司機可以繼續使用虛假帳號？經過一頓軟磨硬泡，司機終於透露，雖然人臉識別聽起來很牛逼，但是他們有軟體可以輕易破解。
沒錯，人臉識別技術就這麼被一群黑車師傅給黑了。
以上故事是在 Freebuf 主辦的 FIT 2017 互聯網安全創新大會上，來自平安科技的安全研究員高小廚（高亭宇）在的一場“關於人臉識別技術應用風險”主題演講中的一段描述。說完他便現場展示了那個司機用來破解優步人臉識別技術的軟體—Photospeak，一個可以讓照片“張口說話”的APP。
【請注意兩張照片的嘴部】
高小廚說，從那之後他開始琢磨人臉識別技術在實際應用層面的風險，並調研了市面上使用了人臉識別技術的軟體，最後的結果出乎自己的預料。
花式破解人臉識別技術
通過分析，他發現市面上大部分使用了人臉識別技術的軟體，其識別流程均大致如下：
檢測人臉 活體檢測 人臉對比（和之前上傳的自拍照或證件照） 分析對比結果 返回結果（通過或不通過）
據瞭解，其中活體檢測技術即在人臉識別時要求用戶進行眨眼、點頭、張嘴等動作，以防止靜態圖像破解，支付寶、優步等應用就採用了該項技術。
高小廚表示，一般的APP開發者不會自己開發人臉識別技術，而是通過協力廠商的API介面或SDK元件來獲得人臉識別功能，基於這個特點，他對人臉識別技術從接入到實際使用過程中的每個關鍵點進行了分析，最終在多個環節都找到了多個突破點，只要略施小計，就能讓人臉識別形同虛設。
高小廚首先在現場演示了通過注入應用的方式來篡改程式，從而繞過所謂的活體檢測功能，使用一張靜態照片就可以通過人臉識別。