【IT168 厂商动态】今年央视“3·15晚会”上一个“变脸”身份证破解的演示,让许多人都出了一身冷汗!人脸识别技术即将大溃败?与人脸识别关系紧密的金融在线支付认证、人工智能等行业领域将遭受强飓风摧残?
其实在安全技术人员的眼里,破解人脸身份认证的方法还有很多。
破解人脸识别四连击
第一击:技术“肢解”人脸识别
现在许多APP开发者自身并没有精力、经验去研发人脸识别,所以都是通过第三方API接口或SDK组件来获得人脸识别这项身份认证功能。这意味着,一旦APP应用自身安全防护强度不够,攻击者就可以通过反编译APP应用程序,修改其程序储存值的方式绕过人脸识别。或者分析APP数据结构,通过修改入参字典的方式篡改活体检测完成后的图片,实现对人脸识别的破解。
第二击:安全缺陷绕过人脸识别
安全研究人员发现,部分APP在使用人脸识别技术时,没有对图像数据进行签名,或者没有给数据报文加入时间戳,导致某些关键识别数据可被截获、篡改。而有些APP为了提高人脸识别成功率所设置的“匹配阈值”也容易被破解调低,导致人脸识别功能失效。
第三击:变脸攻击欺骗人脸识别
今年“3·15晚会”上演示的是通过Photospeak软件进行“变脸”术,来破解人脸识别中的活体检测关。那么从理论上推断,一段足够清晰的人物正面视频也可以把“写在脸上的密码”录制下来,对人脸识别进行欺骗。
第四击:脸部模型冒充通过人脸识别
对于安全鉴别度低的人脸识别,安全研究人员甚至可以通过3D建模,构建人脸模型的方式实行破解。
封堵安全缺陷 拆解“变脸炸弹”
通过深入分析破解人脸识别的各种技术与方法后能够发现,正是由于各类安全缺陷的存在,使得人脸识别遭遇了“信任危机”。那么要想拆解这枚“变脸炸弹”,就需要从封堵安全缺陷着手开始。
拆弹第1步:为APP搭建防爆墙
自身防护能力薄弱的APP,很容易让人脸识别成为马奇诺防线。所以需要增强APP自身安全强度,通过dex加壳、内存防护、so库文件加密、资源文件加密等多种APP安全加固技术协同实施保护,达到增强APP静态安全、动态安全、交易验证安全、数据安全以及发布完整性的目标,抵御反编译、恶意篡改、二次打包等入侵攻击行为。
同时也要对SDK实施安全加固保护,例如进行Jar包源代码动态加密、本地数据文件动态加密、so代码段加密、so数据段加密、so函数表加密、SDK完整性校验、SDK防调试保护等。
通过对APP实施多重加固安全保护,消除各类安全缺陷,能够防止“堡垒被从内部攻破”问题的出现。
拆弹第2步:多因子认证打造身份认证立体防御体系
在许多安全性高的应用场景里,人脸识别其实仅仅是其身份认证中的一个环节。除了传统的账号、密码、认证码等身份认证外,还会引入指纹识别、语音识别、虹膜识别等更多身份认证环节。以这种多层次、交叉识别多因子认证的方式,整体增强身份认证的强度,极大的降低了身份认证被攻破的可能性。
拆弹第3步:用户画像提升人工智能认知安全
如今异常火爆的人工智能领域里,人脸识别是人工智能系统认知外界、获取外部信息的一个重要基础渠道。“变脸炸弹”的出现,将把人工智能炸的晕头转向,甚至使其错招频出。
那么除了要增强人工智能相关模块的代码安全性外,还可以借助用户画像技术,通过分析用户的日常行为特征,辅以威胁情报信息,帮助人工智能构建、明确“你就是你——Only You”,提升人工智能的认知安全能力。
孤立的安全不可取
“3·15晚会”上“变脸炸弹”破解人脸识别的演示,更多是要告诫广大消费者们,随着人们连接进入网络的手段方式愈加丰富,犯罪分子的可攻击面也变得“丰富”起来。仅靠密码、手机短信认证、人脸识别等单一的安全防护手段,已经无法实现对自身安全的有效保护。同时也再一次提醒相关厂商,需要建立起足够广度与深度的多维度、多因子身份认证安全系统防线,孤立安全防护的时代已经谢幕!