原標(biāo)題:手機(jī)人臉識別 只是看起來很美 閉眼能開OV���,刷臉解鎖手機(jī)仍有潛在風(fēng)險(xiǎn)
來源:IT時(shí)報(bào)
作者:章蔚瑋
“不少手機(jī)廠商沒有加入活體檢測技術(shù)就敢啟用人臉識別技術(shù)��,這在我們看來是不可思議的���。”來自中科院云從科技的相關(guān)負(fù)責(zé)人對國內(nèi)手機(jī)人臉識別技術(shù)表示不解���。在今年10月舉行的一場黑客大賽上�����,來自百度實(shí)驗(yàn)室的安全員高樹鵬僅用一張人臉照片就成功解鎖了兩部帶有人臉識別功能的智能手機(jī)���,這讓手機(jī)人臉解鎖功能的安全漏洞暴露在公眾面前。在接受《IT時(shí)報(bào)》記者采訪時(shí)�����,高樹鵬透露,根本原因在于大多數(shù)手機(jī)人臉解鎖功能中均不進(jìn)行活體檢測��,以至于手機(jī)攝像頭很難真正區(qū)別“2D圖像”和“3D人臉”��。
時(shí)隔兩個月���,隨著iPhone X面世�����,又有一批全面屏手機(jī)跟風(fēng)上市���,“比指紋更快的人臉解鎖”成了新機(jī)營銷噱頭,OPPO���、vivo�����、小米�����、華為最新上市的全面屏手機(jī)均帶有人臉解鎖功能�����。但在這些產(chǎn)品的宣傳中�,除了強(qiáng)調(diào)0.1秒的高速解鎖外��,卻很少提及隱藏在人臉解鎖背后的安全漏洞��。
記者實(shí)測OV人臉解鎖
更新版本解鎖難度提升 但閉眼解鎖依然秒開
12月初����,《IT時(shí)報(bào)》記者選取了目前市場上銷售最為火爆的vivo X20和OPPO R11s進(jìn)行人臉解鎖測試。測試的版本分為出廠版與最新升級版���。
“出廠版本”的測試中�����,記者使用人臉1∶1大小的彩色打印照片�����,在較暗光線下�,經(jīng)過數(shù)次角度調(diào)整后��,被vivo X20誤認(rèn)為“人臉”完成了首次人像錄入,再次使用相同照片則能成功解鎖�����。OPPO R11s 未能用照片解鎖成功����,但中間系統(tǒng)幾度出現(xiàn)“停頓”,導(dǎo)致真正人臉都無法正常識別���。
“最新升級版本”的測試中��,記者用2英寸證件照和1∶1彩色打印照片分別進(jìn)行測試�����,選取了正常光線與昏暗光線�,在轉(zhuǎn)換了三十多種角度后�����,都沒能成功解鎖vivo X20和OPPO R11s��。但在閉眼測試中����,vivo X20和OPPO R11s表現(xiàn)不佳����,正常光照下��,vivo X20人臉閉眼解鎖通過率極高�����,幾乎達(dá)到90%�����。OPPO R11s的通過率相對略低���, 但一旦定位攝像頭錄入角度,同樣能高概率閉眼解鎖���。
經(jīng)過實(shí)際測試后��,《IT時(shí)報(bào)》記者發(fā)現(xiàn)�,數(shù)月前媒體陸續(xù)曝光的“普通照片就能解開手機(jī)人臉鎖”的風(fēng)險(xiǎn)�����,在最新版本的vivo X20和OPPO R11s中已有明顯降低,但閉眼依然能人臉解鎖的漏洞����,意味著“熟人風(fēng)險(xiǎn)”依舊存在。
對于人臉識別的風(fēng)險(xiǎn)����,vivo X20與OPPO R11s都在系統(tǒng)內(nèi)貼出了醒目的“免責(zé)聲明”——“手機(jī)可能會被面貌、外形與您相近的人或物品解鎖”“面部識別的安全性低于指紋����、圖案密碼、數(shù)字密碼和自定字母數(shù)字密碼”“在暗光�、強(qiáng)光和逆光環(huán)境下,面部識別的解鎖成功率會降低”……然而�����,雖然承認(rèn)了在人臉識別技術(shù)中存在難以解決的漏洞�����,但目前這兩款手機(jī)的功能設(shè)置中��,人臉鎖除了可用于解屏外,還可用于“應(yīng)用加密”“文件加密”等重要功能���。
專家解讀
手機(jī)人臉識別:營銷噱頭大于技術(shù)創(chuàng)新
“至少在目前還不具備真正成熟的手機(jī)活體檢測技術(shù)�����!痹跒閲鴥(nèi)金融行業(yè)試點(diǎn)人臉識別方案的云從科技金融事業(yè)部總經(jīng)理張興旺看來����,從金融業(yè)的角度看,人臉識別技術(shù)沒有活體檢測�����,其安全性很難控制�,因此,要推行人臉識別技術(shù)必需加載活體檢測�����。但目前國內(nèi)的確沒有“快速可行的方案”可直接應(yīng)用于手機(jī)人臉識別中����,目前國產(chǎn)手機(jī)推行人臉識別功能��,營銷噱頭大于技術(shù)創(chuàng)新本身����。
活體檢測“慢”且“貴”
支付寶與騰訊微眾銀行的人臉識別技術(shù)�,采用了多角度旋轉(zhuǎn)頭部和朗讀隨機(jī)數(shù)字串的活體檢測方式來提高人臉識別的安全系數(shù),但類似按照指令完成動作的活體檢測并不適用于手機(jī)開鎖����,用戶每次打開手機(jī)都需要先念一長串?dāng)?shù)字將是糟糕的體驗(yàn)。另一種備受矚目的“指靜脈識別”目前也在業(yè)內(nèi)廣泛測試�,但由于其在數(shù)據(jù)加密安全系數(shù)低,始終沒有得到推廣���。
目前����,在部分銀行ATM機(jī)上試點(diǎn)的近紅外技術(shù)被業(yè)內(nèi)視為是未來主流的活體檢測方式——“既能不通過指令就能準(zhǔn)確判別驗(yàn)證方是否為活體�����,又能解決光線不足影響識別的難題”����,iPhone X已經(jīng)加入了這種技術(shù)���,但目前不少手機(jī)廠商卻對這種技術(shù)并不“感冒”,根本原因在于“慢”和“貴”�����。
據(jù)了解��,近紅外活體檢測對硬件要求高����,在手機(jī)正面需要配置兩個攝像頭������!鞍凑漳壳暗募夹g(shù),單個攝像頭很難實(shí)現(xiàn)彩色光活體檢測��������!钡p攝的實(shí)現(xiàn)�,會影響手機(jī)屏幕的整體布局設(shè)計(jì),這不僅需要時(shí)間����,更需要昂貴的投入。
“不少手機(jī)廠商不愿等����,”一家從事人臉識別技術(shù)開發(fā)的科技團(tuán)隊(duì)透露,“目前有一大批手機(jī)廠商都在尋找人臉識別算法公司�,希望能直接引入人臉識別技術(shù),而他們的要求就是快����������!
通常���,他們會推薦手機(jī)廠商普遍使用的“人臉特征提取和識別算法”���,比如vivo X20 和OPPO R11s采用的是商湯科技提供的人臉識別技術(shù)�����,通過提取人臉128個特征進(jìn)行比對��,達(dá)到設(shè)定匹配率即可解鎖�,相對而言��,技術(shù)落地快�����,解鎖速度快���,但容易受攻擊����。
“一旦加入紅外活體檢測���,人臉識別速度會受到影響,至少需要0.4秒�����, 要達(dá)到現(xiàn)在市場上通用的0.1秒,除非在硬件配置中再另外植入網(wǎng)絡(luò)芯片�����。但這對于目前急于爭奪市場的手機(jī)廠商而言���,都是不可接受的���������! 張興旺說道�。
此前vivo產(chǎn)品經(jīng)理強(qiáng)調(diào),在vivo X20中使用的是2PD——景深識別���,通過區(qū)分人臉部和背景邊界來識別真人和照片�����,經(jīng)過幾萬次測試�����,被攻破率比2D識別降低30倍���。但在高樹棚看來��,只有引入活體檢測��,手機(jī)才真正有能力鑒別照片�����、視頻����,還是面具����,“即便能抵擋住圖片和視頻,但能抵擋住高精頭套偽裝嗎���?”
活體檢測國產(chǎn)專利匱乏
據(jù)了解���,目前除了人臉識別外��,在手機(jī)指紋識別、虹膜識別的實(shí)際應(yīng)用中�,同樣缺乏有效的活體檢測方法,產(chǎn)品少�����,成本高是普遍原因�����,“有些識別檢測技術(shù)門檻不高�,比如溫度傳感技術(shù),但由于芯片專利技術(shù)掌握在國外廠家手中���,海外采購成本至少翻幾十倍��,因此國內(nèi)很少有機(jī)構(gòu)愿意去推廣�����!痹跇I(yè)內(nèi)人士看來,國內(nèi)在這個領(lǐng)域真正掌握自主研發(fā)專利的機(jī)構(gòu)太少��。
“商湯和曠視都是業(yè)界老大�,但是在公開信息中��,他們應(yīng)用于手機(jī)的活體檢測技術(shù)并未有很大很新的突破����,阿里的螞蟻金服以及騰訊AI實(shí)驗(yàn)室���,也都在這個領(lǐng)域積極研究����,目前都沒有顯著的突破������!痹谝晃粯I(yè)內(nèi)人士看來,從算法上看國內(nèi)活體檢測技術(shù)的突破點(diǎn)在于數(shù)據(jù)�����,無論是三維建模技術(shù)�����,還是深度學(xué)習(xí)技術(shù)都需要依靠大數(shù)據(jù),若有一批質(zhì)量高�、場景多樣的活體與非活體數(shù)據(jù)���,只要使用簡單深度學(xué)習(xí)方法訓(xùn)練�����,就能起到效果���。
關(guān)注樓主