為全面分析人臉識別市場現狀、面臨的風險隱患及有效的安全保障措施,頂象近日釋出《人臉識別安全白皮書》。《白皮書》就金融行業存在人臉安全風險進行了詳細分析,並對在公共服務領域人臉安全的安全防護提出具體建議。
儲戶存款被盜走背後的人臉安全風險
由於人臉識別技術運用主體的技術條件和管理水平良莠不齊,不法分子甚至會開發作弊工具來破解、干擾、攻擊人臉識別技術背後的應用和演算法,進而引發盜竊、詐騙、侵入住宅等犯罪,危及被害人的資料安全、財產安全乃至人身安全。
《人臉識別安全白皮書》顯示,今年7月分,兩大銀行爆出的人臉識別系統漏洞,多名儲戶的數百萬存款被異地“刷臉”盜取。分析發現,該類風險是“人臉識別系統不安全”造成。
人臉識別系統不安全,就是黑灰產破解人臉識別應用或安全保護,篡改驗證流程、通訊資訊,劫持訪問物件、修改軟體程式,將後臺或前端的真資料替換為假資料,以實現虛假人臉資訊的透過。主要破解系統程式碼、劫持攝像頭、篡改傳輸報文進行破壞。
破解系統程式碼:破解人臉識別系統程式碼、人臉識別應用的程式碼,篡改人臉識別程式碼的邏輯,或者注入攻擊指令碼,改變其執行流程,人臉識別系統按照攻擊者設定的路徑進行訪問、反饋。
劫持攝像頭:透過入侵人臉識別裝置,或在裝置上植入後門,透過刷入特定的程式來劫持攝像頭、劫持人臉識別App或應用,繞過人臉的核驗。
篡改傳輸報文:透過破解入侵人臉識別系統或裝置,劫持人臉識別系統與伺服器之間的報文資訊,對人臉資訊進行篡改,或者將真實資訊替換為虛假資訊。
公共服務中的人臉安全隱患
疫情常態化下,透過人臉識別或健康碼識別,完成核驗身份資訊、人像的比對,查驗健康碼、核酸檢測時效、行程以及體溫等多項防疫資訊資料,同時與智慧通道閘機、門禁聯動管控。綠碼通行、紅黃碼及資訊異常報警,這種無人值守、非接觸式的智慧設施,實現體溫、健康防疫資訊快速檢測的同時,有效提高卡口管理工作效率,避免人員聚集,為織密築牢疫情防控智慧網,持續做好防疫卡點提供重要支撐。
假如,不法分子透過破解篡改人臉識別系統驗證流程、資訊、資料等,將後臺或前端的真資料替換為假資料,或者替換為虛假核酸資料、虛假的行程記錄,直接導致無法正常透過,不僅影響出行,更直接影響商業活動。
如果不能夠有效保障人臉識別系統安全,如下場景可能隨時出現:某公司的負責人張三,去商務酒店參加一個重要的合作簽約。競爭對手為了阻止張三簽約,破解了酒店大門的電子哨兵人臉識別應用。張三“刷臉”入門時,電子哨兵出現了虛假的健康碼資訊。張三不但被拒絕進入會議現場,更引發合作伙伴誤會,預定的簽約也直接作廢,給公司帶來巨大損失。
專為人臉識別定製的安全解決方案
《人臉識別安全白皮書》展示了專業人臉識別系統安全的解決方案——頂象業務安全感知防禦平臺。該平臺具有威脅視覺化、威脅可追溯、裝置關聯分析、多賬戶管理、覆蓋多平臺、開放資料接入、主動防禦機制、支援防禦策略和處置自定義和全流程防控等特點,已為保險、銀行、出行、網際網路等多家單位提供人臉識別系統安全保障。
頂象業務安全感知防禦平臺基於威脅探針、流計算、機器學習等先進技術,集裝置風險分析、執行攻擊識別、異常行為檢測、預警、防護處置為一體的主動安全防禦平臺,能夠實時發現攝像頭遭劫持、裝置偽造等惡意行為,有效防控各類人臉識別系統風險。它具有威脅視覺化、威脅可追溯、裝置關聯分析、多賬戶管理、跨平臺支援、主動防禦、開放資料接入、防禦自定義和全流程防控等特點。
頂象《人臉識別安全白皮書》共有8章73節。系統對人臉識別組成、人臉識別的潛在風險隱患、人臉識別威脅產生的原因、人臉識別安全保障思路、人臉識別安全解決方案、國家對人臉識別威脅的治理等進行了詳細介紹及重點分析。