当前,人脸识别的过程依次为活体检测—人脸检测拍摄—上传服务器对比或本地处理—面部特征点定位—提取和分类—校验和识别—分析返回结果,但这些过程中依然会找到突破点来实现欺骗或者绕过人脸识别,人脸识别隐私问题依然存在技术难点。
1、活体检测攻击和绕过
SecID的员工使用录制的视频,就轻松绕过了俄罗斯著名人脸识别公司VisionLabs的活体检测。
这个方法毫无技术门槛,只要有目标用户的音视频即可剪辑出一段视频实现活体检测的攻击。用应用注入的方式,甚至可以实现绕过活体检测,因为活体检测肯定是先于人脸识别发生的,可以在程序中打断点,通过试验演示整个流程触发断点,分析并修改程序存储的一些关键数值,就能达到绕过活体检测的目的。而一旦活体检测被绕过,一张普通的照片都能通过静态的人脸识别。
2、服务器交互过程攻击
很多APP或SDK在上传拍摄的照片时,明文传输,且没有对图像数据进行签名,导致图像数据可以被截获篡改,有的在数据报文没有加入时间戳,可以通过重放数据报文的方式来实施破解。
在测试某款应用的过程中,甚至出现过这样的情况:本地上传人脸数据到服务器,服务器返回一个匹配度,本地通过匹配度来决定人脸识别是否通过,该应用没有对数据报文加签名,导致返回数据可以被轻松篡改,最终绕过人脸检测。
3、3D打印绕过检测
iPhoneX发布后一周,越南安全公司Bkav用3D打印的脸部大面具轮廓、硅树脂材料制作的鼻子、2D打印的眼眶区域和部分面部的化妆,制作成了一个假的人体面具成功破解了苹果的Face ID系统。随着3D打印技术的低成本化和普及化,可以预料的是,未来会出现越来越多的人脸识别系统被破解的案例,即使3D结构光的在旗舰手机上的逐渐普及也无法挽回这个趋势。说到底,人脸识别只能作为一种弱加密手段来使用,他无法改变人脸可以被复制的属性,破解人脸识别只是时间和成本问题,而不是技术问题。
4、对抗网络破坏人脸识别
多伦多大学的教授Parham Aarabi 和研究生Avishek Bose 5月31日在Arxiv上提交了一篇论文,该论文演示了一种“对抗性训练”,建立起两种相互对抗的算法。
Aarabi 和 Bose 创建了两个神经网络,一个是识别人脸的网络,另一个是破坏其既定目标的神经网络。这两个网络互相学习,相互提升效果。其实就是当初对抗样本的原理,利用对抗原理,只要轻微改动几个关键像素的值,这样的改动对人类来说甚至无法察觉,但完全可以达到欺骗神经网络的作用。