人脸识别作为一种易用性强的生物特征验证技术,目前在政务、安防、金融、生活消费等行业都有着广泛应用。
新华每日电讯记者调查发现,人脸识别技术存在明显的安全漏洞,对社会和财产安全存在重大隐患,亟须进行系统性的安全排查和堵漏。
2021年1月8日,上海市虹口区人民检察院发布消息,对一起破解“人脸识别”技术侵犯公民个人信息案提起公诉。
《新华每日电讯》由此刊载了题为《上海检方公诉的一起涉案金额超5亿元的虚开发票案,牵出非法人脸识别案:“人脸识别破解术”成黑产业,护“脸”亟须查缺补漏》的报道。
一起发票案牵出非法人脸识别案
在上海市虹口区人民检察院公诉的一起特大虚开增值税普通发票案中,被告人通过破解人脸识别技术等方式,注册“皮包公司”用于虚开增值税普通发票。据悉,多名被告人为他人开具增值税普通发票价税合计超过5亿元。
近日,上海市虹口区人民检察院以侵犯公民个人信息罪对吴某某、周某2名被告人提起公诉。
经查,2018年7月起,吴某某、周某2人明知他人用于实施非法侵入计算机信息系统等违法行为,仍单独或与他人结伙利用事先非法获取的身份证照片等公民个人信息,通过不法技术手段制作成动态视频,协助他人破解相关政务平台的人脸识别验证程序。2人通过上述手段获取违法所得共计人民币11.5万余元。
在案件中,犯罪嫌疑人首先要通过政务平台完成注册“皮包公司”。注册公司的过程中,通过平台人脸识别是注册成功的关键环节。
为达到目的,犯罪嫌疑人先从他处以30元的价格购买他人的高清头像和身份证信息,之后利用“活照片”App对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频。犯罪嫌疑人说,获得视频之后会利用特殊处理的手机‘劫持’摄像头,在人脸认证环节时,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证。
该团伙还破解了某广泛用于管理电子营业执照App的人脸识别系统。犯罪嫌疑人下载电子营业执照后,在App里添加办事员的身份信息。虚开发票团伙就以此通过办事员身份使用电子营业执照。
据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。
在互联网上,人脸识别的技术做法,随便就能搜索到破解人脸识别技术的技术方法。
在上述虚开发票案中,犯罪嫌疑人除了利用破解技术从事虚开发票外,还会利用注册新账号从事骗取各类App补贴优惠等违法犯罪。
在FIT2017互联网安全创新大会上,平安科技安全研究员高亭宇在一场“关于人脸识别技术应用风险”主题演讲中现场展示了用来破解“人脸识别”技术的软件——一款可以让照片“张口说话”的App。
高亭宇在大会上讲述了30多个黑车司机通过破解人脸识别技术注册上百个网约车司机账号以垄断当地网约车市场的故事。
高亭宇说,从那之后,他开始琢磨“人脸识别”技术在实际应用层面的风险,并调研了市面上使用“人脸识别”技术的软件,最后的结果出乎自己的预料。
通过分析,高亭宇发现,市面上大部分使用了“人脸识别”技术的软件,其识别流程大致相同:检测人脸→活体检测→人脸对比(和之前上传的自拍照或证件照)→分析对比结果→返回结果(通过或不通过)。
据了解,其中“活体检测”技术即在“人脸识别”时要求用户进行眨眼、点头、张嘴等动作,以防止静态图像破解,国内多个知名App中的“人脸识别”都采用了这项技术。
高亭宇说,一般的App开发者不会自己开发“人脸识别”技术,而是通过第三方的API接口或SDK组件来获得“人脸识别”功能,基于这个特点,他对“人脸识别”技术从接入到实际使用过程中的每个关键点进行了分析,最终在多个环节都找到了多个突破点,只要略施小计,就能让“人脸识别”形同虚设。
据网络介绍,注入应用绕过活体检测,也就是通过注入应用的方式来篡改程序,从而绕过所谓的活体检测功能,使用一张静态照片就可以通过人脸识别。
还有视频攻击绕过活体检测,只需要安装一个能够将人脸照片制作成视频的手机软件,然后在朋友圈、个人空间等地方找到对方的一张正面照片,输入到软件中,就可以令其开口说话,所谓的活体检测也就不攻自破。上海市虹口区人民检察院公诉案件中就是用的这个办法。
第三种是三维建模绕过云端检测,通过网上下载的用来制作3D建模的软件,参照照片中的脸部特征,在短时间内就做出了对应的3D建模图像,可以用来破解一般的人脸识别。
第四种是脸部模具绕过云端检测:3D打印模型虽然只采用了一种材料,打印出来的人脸模型颜色会过于单一,但是通过后期手工的打磨,一样是可以增加识别的成功率。
第五种是利用接口防护不当和各种奇葩的设计缺陷:部分APP在使用上传人脸图像时,没有对图像数据进行签名,导致图片可以被工具截获然后篡改,而有的则是在数据报文没有加入时间戳,可以通过重放数据报文的方式来实施破解。
以上这些技术方向并非什么高深的技术,在互联网上很容易找得到,只要掌握有关编程技术,犯罪分子就能够编写出非法软件,破解人脸识别系统。
来源:新华社 法制日报 虹口检察等