來源:電腦報
入住酒店、移動支付、圖書借閱 …… 出色的便利性加上新鮮感,刷臉支付漸成移動交互新風潮,不斷授權過程中,你可知人臉信息早已被灰產盯上?
01
0.5 元一份人臉照片
" 五毛一張打包帶走,總共兩萬套,不議價。"、" 人臉數據 0.5 元一份、修改軟件 35 元一套 "……
當下,在不少社交平臺、電商平臺上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和 " 照片活化 " 工具的店鋪。
人臉照片銷售比較好理解," 照片活化 " 又是何方神圣?
據調查了解,黑產賣家出售的 " 照片活化 " 工具,可將人臉照片修改為執行 " 眨眨眼、張張嘴、點點頭 " 等操作的人臉驗證視頻。
這些造假的人臉數據會利用系統漏洞騙過部分平臺的人臉識別機制,被用來解封社交平臺的凍結賬號,或修改金融保險應用的個人信息,造成賬戶被盜取,帶來財產損失。更有甚者,一些非法分子還借此繞過部分婚戀交友平臺或實名制開手機卡的人臉識別認證機制,用于虛假注冊、網絡詐騙、敲詐勒索等違法犯罪活動。
原圖經 " 照片活化 " 軟件處理后,基于關鍵點定位獲得結果人臉圖
" 照片活化 " 結果(截取自黑產攻擊軟件)
去年 8 月,深圳龍崗警方發現有轄區居民的身份信息被人冒用,其駕駛證被他人通過網絡服務平臺冒用扣分。經偵查發現,有不法分子使用 AI 換臉技術,繞開多個社交服務平臺或系統的人臉認證機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。
除 " 照片活化 " 外,在一些使用人臉注冊識別場景下,也存在不法分子通過上傳合成人臉圖像企圖蒙混過關。一系列 " 換臉 " 技術合成的人臉圖像很難通過肉眼辨別真偽,加上人臉數據涉及到用戶的肖像和個人隱私,篡改人臉數據也將對用戶個人信息安全造成嚴重威脅。
這樣的技術 PS 似乎也能做到?顯然," 照片活化 " 外核心賣點在于一個 " 活 " 字。" 照片活化 " 技術可以通過照片作出搖頭、點頭、眨眼、吐舌頭等動作," 甚至配合說一句話都沒有難度,可以用語音操作 ",再加上手機號驗證碼的操作空間,不法分子一旦有了身份證信息和照片,冒用別人的身份去辦理網貸、注冊軟件或網站、解鎖支付軟件、精準詐騙等,可以無障礙做很多不法的事情。
總體而言," 照片活化 " 引發的人臉信息安全問題,已在業界引起廣泛關注。
02
不斷拓展的人臉識別應用
點完餐看一下攝像頭就能完成支付,住酒店刷臉后才能登記,上公廁用廁紙也得刷個臉才能取。隨著人工智能的發展,人臉識別技術得到廣泛應用," 臉 " 的應用場景被不斷拓寬。
除了消費領域的便利支付,身份認證是人臉識別技術的另一大主戰場。在全國機場和火車站的部分通道,乘客將身份證放在相應感應區,面部正視攝像頭,每人只需幾秒鐘就可完成相關信息核驗,快速進站。
一些公共服務機構還利用人臉識別技術來打擊 " 黃牛 "。復旦大學附屬腫瘤醫院一半以上的患者來自外省份甚至境外,該院去年就推出 " 人臉識別 + 身份綁定 " 系統,強化早高峰時段熱門專家(特需)現場號源的管理。通過人臉識別系統綁定掛號人的身份,使得號販子失去了現場 " 投機掛號 " 的操作空間。
不僅是醫院,記者發現,各地政務類 App 中,刷臉登錄、人臉驗證已經廣泛使用,如某地公積金 App,用戶就可通過人臉識別完成驗證,線上支取公積金。
從便利性、安全性等方面看,人臉識別技術的確值得推廣,但問題是當人們進出小區、甚至上廁所拿手紙時都需要刷臉,這樣大規模的采集人臉信息,真的好嗎?
03
別人的人臉數據有何用
一位倒賣 " 人臉視頻工具箱 " 并聲稱可以 " 包教會 " 的賣家曾在接受媒體采訪時表示,只要學會熟練使用 " 工具箱 ",不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。
如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平臺賬號或竊取金融賬戶內財產;如果人臉信息和行蹤信息相匹配,可能會被不法分子用于精準詐騙、敲詐勒索等違法犯罪活動。
相比于身份證號、消費記錄、信貸流水等個人信息," 人臉信息 " 無疑要敏感得多,其泄露的后果也要嚴重許多。人臉被冒用,支付、網貸、門禁等,完全處于不設防的裸奔狀態。
理論上,莫名其妙背上一筆貸款、陌生人悄無聲息闖入家門都是可能之事。人臉信息驗證,不同于密碼驗證等方式,前者的 " 生物特征數據 " 具有固定性、永久性,改密碼容易,要 " 換臉 " 難于登天。一旦人臉信息丟失,將終身置于不確定風險之中。
從技術角度看,將人臉信息和身份信息相關聯后,利用系統漏洞 " 騙過 " 部分平臺的人臉識別機制是有可能的。" 照片活化 " 能攻破人臉識別,也說明某些生物特征識別系統未必過關。
04
人臉信息保護需多方努力
對于倒賣公民隱私信息,刑法規定了侵犯公民個人信息罪,即將施行的民法典在人格權編中圍繞 " 隱私權和個人信息保護 " 單獨設了一章進行規范,可見國家對個人信息保護非常重視。
想要根除隱私泄露售賣問題,需要國家政府、企業、個人三方面共同努力,國家應盡快完善公民生物信息保護的法律體系,加快個人信息保護法的立法進程,構建健全的個人信息權利救濟和保護制度,明確收集、利用個人信息的范圍;在執法方面,加大對企業非法收集和使用公民個人信息的行政處罰力度,提高侵犯公民個人信息的違法成本;在政府自身成為人臉信息搜集主體時,政府要有明確的法律依據并遵循合理必要原則,并限制公權力的過度擴張,盡可能較少對公民個人信息權益的侵犯。
企業在采集和使用人臉數據時,應該遵守以下幾個原則:用戶同意、數據合規使用、透明性、數據安全保護措施、隱私設計、準確性和用戶權利、問責制度。公民個人應樹立強烈的個人信息保護意識,不隨便掃碼、注冊等。
在個人信息有可能要被采集的時候,個人用戶一定要盡可能詢問采的原因和用途,是否有合法依據,以及數據搜集方對數據安全的保護措施。同時,不要隨便掃描二維碼,不要隨便把自己的驗證碼發給別人。
對于已經開通 APP 刷臉驗證的小伙伴,看了上面的問題如果有些不放心的話,不妨嘗試關停該功能。
05
關閉人臉識別
看到這里,謹慎的小伙伴已經開始準備關閉刷臉授權了吧?以支付寶為例,取消刷臉應用并不是很復雜。
打開支付寶 App,進入 " 我的 " 頁面,點擊右上角的 " 設置 ",著依次點擊 " 生物識別 "、" 刷臉設置 "。
這時,可以看到 App 的刷臉登錄已處于開啟狀態,只需要左滑關閉,并依提示完成余下步驟就可以了。
微信人臉識別的關閉方法也大同小異,大部分正規 APP 基本都提供了方便的關閉功能,畢竟當下很多人都對刷臉驗證存在疑問。
06
新技術不妨緩一緩
總結:在移動支付的推動下,刷臉支付崛起很快,或許前面提到的刷臉取廁紙有些夸張,可進出小區、刷臉開門這些應用真的以非常快的速度在普及,可問題是我們真的做好了準備嗎?
國家市場監督總局早在 2018 年發布消費警示稱,智能門鎖的質量安全,直接關系到千家萬戶的家庭財產和人身安全。日前,國家市場監管總局組織開展了智能門鎖質量安全風險監測,發現智能門鎖產品在遠程開鎖和人臉識別方面風險較高,在感應卡識別開鎖方面隱患較多,另外在密碼邏輯安全、抗電磁干擾、指紋識別等方面程度不同地也存在隱患。
而今年,IBM 在一封呈交美國國會的信件中表示,將停止交付通行的人臉識別和分析軟件,并不再開發或者研究相關技術。
信中,IBM CEO Arvind Krishna 稱,IBM 堅決反對也不會容忍使用任何面部識別技術,這樣的觀點或許有些偏激,但參考更多的觀點,或許能為我們提供更多的參考意見。
