5億虛開發票案牽出“人臉識別破解術”黑産15分鐘破解19款手機

人臉識別作為一種易用性強的生物特徵驗證技術,目前在政務、安防、金融、生活消費等行業都有著廣泛應用。不過,新華每日電訊記者調查發現,人臉識別技術存在明顯的安全漏洞,對社會和財産安全存在重大隱患,亟須進行系統性的安全排查和堵漏。

記者從上海檢察機關獲悉,在近期上海市虹口區人民檢察院公訴的一起特大虛開增值稅普通發票案中,被告人通過破解人臉識別技術等方式,註冊“皮包公司”用於虛開增值稅普通發票。據悉,多名被告人為他人開具增值稅普通發票價稅合計超過5億元。

案件中,犯罪嫌疑人首先通過相關政務平臺完成註冊“皮包公司”,過程中通過平臺上註冊人的人臉識別是註冊成功的關鍵環節。

為達到目的,犯罪嫌疑人中專門從事人臉識別破解的成員表示,其一般先從他處以30元每個的價格購買他人的高清頭像和身份證資訊,之後利用“活照片”App對高清頭像進行處理,讓照片“動起來”,形成包括點頭、搖頭、眨眼、張嘴等動作視頻。

“獲取視頻後,我們利用特殊處理的手機‘劫持’攝像頭,在人臉認證環節時,手機攝像頭不會啟動,系統獲取的是之前做好的視頻。系統會認為是本人在攝像頭前,最後通過認證。”犯罪嫌疑人説。

同時,該團夥還破解了某廣泛用於管理電子營業執照App的人臉識別系統。犯罪嫌疑人下載電子營業執照後,會在App裏添加辦事員的身份資訊。虛開發票團夥就以此通過辦事員身份使用電子營業執照。

據犯罪嫌疑人交代,其破解的App類別非常廣泛,涉及政務、安防、金融、支付、生活消費等用戶量巨大的App。每單的破解價格從25元到300元不等。

%title插图%num

“15分鐘破解19款手機的人臉識別系統。”據記者了解,依託清華大學人工智慧研究院成立的團隊瑞萊智慧近期披露了新的研究成果:研究人員根據一張照片,通過研究演算法,製作一副特殊“眼鏡”,就可以刷臉解鎖他人手機或App身份認證。

研究人員向記者透露,其團隊通過對抗樣本攻擊,戴上自製眼鏡後,15分鐘內破解了19款智慧手機的人臉識別解鎖系統。同樣被破解的還包括十餘款金融和政務服務類App。

記者發現,網上存在大量提供破解人臉識別技術服務的群組,群名大多采用“過臉”“識別技術”等關鍵詞逃避監管。群人數從100人到300人不等。

在一個名為“過臉識別技術”的群裏,有人採取付費的方式邀約群內可以破解支付軟體人臉識別審核的人士。駭客,成了人們追捧的“貴客”。

%title插图%num

2017年,在上海召開的一場“國際安全及客大賽”,來自多個國家的“極客們”就上演了一齣出腦洞大開的黑科技破解秀。(記者:潘旭)新華社音視頻部製作

此外,有的群則是對破解技術進行資料、資源分享交流。一個名為“VX三色過臉”的群自稱“破解人臉識別技術的扛把子”“適合想入行的新手和小白”,群內多達300人。

名為“藍葉子”的用戶給記者發來一段App人臉識別安防的破解視頻,並表示可以出售一台特製的手機。通過導入自行製作的人臉動作視頻後,所有在該手機上安裝的應用軟體,都可以自動跳過人臉認證的環節。每台手機的價格為1650元。

他還告訴記者,虛假的人臉動作視頻可以使用“你我當年”“活照片”“輕鬆換臉”等App完成。

%title插图%num

“我們了解到,有的公司上班考勤要進行人臉識別打卡,有員工委託駭客入侵打卡App,利用人臉識別漏洞來完成打卡,每月僅需付給駭客30元。”一位網路安防公司相關負責人向記者透露。

在上述虛開發票案中,犯罪嫌疑人除了利用破解技術從事虛開發票外,還會利用註冊新賬號從事騙取各類App補貼優惠等違法犯罪。

瑞萊智慧高級産品經理張旭東告訴記者,當前破解人臉識別技術主要是針對活體檢測的假體攻擊,但針對AI演算法自身的對抗樣本攻擊威脅也逐步凸顯。

“由於業界的人臉識別技術主要是固定幾個方法,相似度很高。如果駭客提供一個專用於破解人臉識別的開源軟體,並在網際網路上廣泛流傳,犯罪分子利用漏洞進行各類App實施違法犯罪將猶如‘入無人之境’。”張旭東説。

在新華三集團安全專家曹亮看來,無論是對抗樣本攻擊還是針對活體檢測的假體攻擊,最終目的都是為了騙過“機器眼”。

“當前人臉識別演算法大都是人臉上‘三點’‘五點’‘七點’的識別,通過對眼睛、鼻子、嘴、耳朵以及頭部活動來實現認證。駭客完全可以通過了解機器內部驗證機制和評判規則,再想辦法繞過安全防護。”他説。

%title插图%num

專家認為,應儘快排摸國內政務、安防、金融、支付、生活消費等領域的核心App應用存在的相關漏洞,並及時打上補丁,以防發生危害社會安全和財産安全的重大事件。

開展軟硬體“對攻升級”。張旭東表示,當務之急應對涉及政務、安防、金融、消費等行業的人臉識別技術漏洞進行完善和升級。

“尤其是對於涉眾、涉密、涉及公共利益的相關平臺和技術服務提供商,需優先完成技術加固,對手機模擬器要做好防範和拒絕。同時,鼓勵和引導更多手機廠商在手機升級時支援3D人臉識別技術。”張旭東説。

%title插图%num

“手機廠商在寫入手機系統時可內置安全模組,防止駭客繞過手機攝像頭啟動環節、對攝像頭實現劫持,從源頭上實現安全守護。”曹亮説。

制定落實人臉識別安全標準。曹亮表示,對核心領域使用人臉識別技術的産品,監管部門可制定並嚴格實施相關標準,保證産品符合安全技術要求。

“可依據人臉識別在公共或商業應用中對安全的差異化需求,制定分級別、多層次的國家安全標準及行業安全標準。”他説。

加強司法打擊,保護每一張“臉”。“違法者可能涉嫌破壞電腦資訊系統罪,執法和司法機關應當加強打擊力度,形成威懾力。”北京格豐律師事務所合夥人郭玉濤律師説。他建議,當前各大政務、金融、電商等平臺都蒐集了大量的人臉數據,既存在重復建設的問題,更存在安全隱患和風險。國家和省級層面可建立統一的商用安防大數據中心,以此達到防止人臉資訊的濫用、外泄等問題。

“可要求人臉識別演算法供應商的模型須在大數據中心內進行訓練,實現數據、模型物理上不出專網。演算法供應商可租用大數據中心的數據和計算力進行演算法模型的升級和更新。”他説。

免責聲明:中國網科技轉載此文目的在於傳遞更多資訊,不代表本網的觀點和立場。文章內容僅供參考,不構成投資建議。投資者據此操作,風險自擔。

中國網是國務院新聞辦公室領導,中國外文出版發行事業局管理的國家重點新聞網站。本網通過10個語種11個文版,24小時對外發佈資訊,是中國進行國際傳播、資訊交流的重要窗口。

凡本網站註明“來源:中國網科技”的所有作品,均為本網合法擁有版權或有權使用的作品,未經本網授權不得轉載、摘編或利用其他方式使用上述作品。

版權所有 中國網際網路新聞中心 電話: 86-10-88828000網際網路新聞資訊服務許可證號

關於我們 法律顧問:北京岳成律師事務所外宣服務與廣告服務 違法和不良資訊舉報電話舉報流程

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

本文仅代表作者观点,不代表本站立场。 本文系作者授权发表,未经许可,不得转载。