——駭客花式玩法兒大揭秘
僅憑一張從微博裡隨意獲取的他人自拍照,就成功通過“刷臉”驗證登錄APP,這場神奇的“換臉”魔術著實讓人眼鏡大跌。人臉識別的安全人設真的就這樣崩塌了麼?看似如洪水猛獸般猖獗的駭客行為如此大行其道,究竟有多深不可測?還是只是套路深深深幾許的紙老虎而已?人工智慧大玩家Linkface就來為您揭秘駭客攻擊人臉識別的花式玩法兒。
——利用圖像、視頻處理軟體類比真人“活”起來
如開頭描述的場景,駭客利用PS/AE等圖像、視頻處理軟體把一張靜態人臉圖片處理為動態視頻,讓視頻中的人臉模仿真人完成規定動作,對活體檢測進行攻擊。同樣,經過各類圖像、視頻軟體處理,一張靜態照片中的人臉可以瞬間換掉視頻中模仿者的人臉,實現“換臉”後,模仿者的肌肉運動將轉移到視頻中的人臉上,進而攻擊活體檢測系統。
——預先錄製視頻攻擊活體檢測
駭客在檢測設備攝像頭前播放事先錄製好的連續完成指定動作的高清視頻,模擬人活體攻擊活體檢測系統。
——捕捉人臉關鍵點特徵進行3D建模
參照人臉照片中多處關鍵位置的臉部特徵,使用3D建模軟體製作出相對應的建模圖像,並讓建模圖像像真人一樣做出規定動作,與人臉照片進行比對時相似度很高,非常容易攻破活體檢測。
以上這些手段尚屬低段位的連技術小白都玩兒得轉的小兒科、小把戲,真正應用於工業級別很難成功。而Linkface的活體檢測系統,會隨機要求被測人主動進行不同動作,一旦發現連續動作中有一個動作可疑,Linkface活體檢測系統會在第一時間阻止模仿者。作為一家專注於技術研發的人工智慧企業,Linkface人臉識別演算法在陌生人識別領域早已超越人眼準確率,並積累了大量的人臉識別實戰經驗。
在公司成立之初,Linkface就在人臉識別防駭客上投入大量的研發資源,率先進行工業級別的“活體檢測”技術的深入研發。真人錄製的視頻或經過軟體處理合成的視頻,在通過活體檢測環節時必然要借助螢幕呈現,而螢幕展現的成像與真人活體在攝像頭前的錄製的視頻流相比,會有諸多人眼難以察覺但電腦可以迅速捕捉到的細微差異,比如螢幕反光感、摩爾紋、圖元點紋理、鏡頭畸變、即時光線環境與螢幕成像色調的不匹配等,這些可以端倪都會被基於大資料和深度學習的活體檢測模型敏感地捕捉到而予以報警。
然而,駭客似乎永遠不會滿足於“摧毀”帶給他們的滿足感,他們總是樂於永無止境地將魔爪伸向更遠的地方。例如,在開發者調用協力廠商人臉識別服務時,往往由於沒有按照嚴格的安全規範進行技術接入,給駭客們留下了“大可作為”的可乘之機。
——注入應用篡改程式,繞過活體檢測
駭客通過注入應用的方式來篡改程式,在程式中佈置一個中斷點,通過反復演示人臉識別流程不斷觸發該中斷點,然後分析並修改程式,達到繞過活體檢測的效果,使用靜態照片就可以通過人臉識別。
——篡改函數參數破解活體檢測系統
通過查看當前app的資料結構,修改入參字典來篡改活體檢測完成後的圖片,隨後任何人均可通過活體檢測,拿著被攻擊者的照片通過靜態人臉識別,然後攻擊者自己配合做動作來破解活體檢測。
——利用技術介面防護不當鑽空子
某些APP在上傳人臉圖像環節中,沒有對圖像資料進行簽名設置,導致圖片可以被工具截獲並篡改,而有的則在資料包文沒有加入時間戳記,可以通過重放資料包文的方式實現破解。
目前,Linkface活體檢測資料介面在資料獲取中單獨使用了加密演算法,保證資料對協力廠商不可見;同時在整個調用流程中使用SSL傳輸協定,提高了整個資料閉環的安全性能。
此外,Linkface在現有防駭客技術的基礎上,已嘗試把3D成像和3D人臉識別等新興技術應用在支付等對安全級別要求更高的場景中,進一步提升防駭客能力。據瞭解,在實際金融應用中,Linkface人臉認證系統經過3億次調用,創下了單日攔截駭客攻擊超過10萬次的記錄,為客戶減少近億元經濟損失。
技術的成長催生了駭客的誕生,而駭客的進擊往往成就了技術再升級。二者在歷史的滾滾洪流中相愛相殺、一路前行。一門新興技術在真正被市場接納前難免要經歷反復淬煉的陣痛期,而始終以匠人之心保持對技術的熱衷和專注,應是行業先行者最大的信念。