在这个刷脸的时代:“丢了脸”还可能丢钱

在这个刷脸的时代:“丢了脸”还可能丢钱
 

图:第六届乌镇世界互联网大会期间,中国电子信息产业集团与奇安信联合展台前,众多的观众排队体验信息安全黑科技。夏冰/摄

■本报记者 武晓莉

这几天,一张图片刷爆了记者的朋友圈——在乌镇举办的第六届世界互联网大会上,中国电子信息产业集团与奇安信集团联合展台前,上千观众排起长队,体验通过AI(人工智能)换脸。利用人工智能换脸技术,10秒钟即可生成3D人脸模型,轻松骗过人脸识别?这是真的。用现场体验者的话说就是:“真是又惊讶又可怕。”

不可思议的黑科技在给我们带来全新生活的同时,也对我们的个人财产和隐私安全造成了威胁。世界互联网大会自2014年举办以来,每届大会的议题都会聚焦网络安全。在本届互联网之光博览会上,涉及普通大众日常生活的一些黑科技,让普通观众从黑客攻击的视角近距离体验人脸识别系统、AI换脸、NFC隐私信息窃取、手机远程窃听偷拍、智能门锁破解等日常生活中常见的网络风险场景。

■“善用”脸才能远离危险

换张脸,你就可以出现在奥斯卡获奖片的桥段里;刷一下脸,就可以付款购物;眨几下眼,手机就能帮你还信用卡;手指放在门锁上,你家门就开了;晃一下手机,就可以乘公交……随着人工智能的普及,刷脸支付、人脸解锁、人脸登记等技术应用越来越普及,但方便快捷一直和安全风险如影随形。

随着人工智能的普及,现在刷脸支付、人脸解锁、人脸登录已经越来越普及,但是黑客可能仅凭一张你的高清照片就能成功刷脸解锁你的手机,登录你的APP,窃取你的信息和财产。

“观众进入人脸识别系统覆盖范围,被抓取一张照片,我们的‘黑客’就能拿这张照片做出3D脸模,这个脸模可以轻易骗过人脸识别系统。”奇安信展台负责人苑一时说,“使用人脸识别系统的手机就可以被解锁,人脸支付的账户就可能被轻松盗取,用户信息也很容易获取。这就是让现场观众比较揪心的原因,这也意味着如果用户随便‘丢了脸’,个人财产和信息就不安全了。这个体验项目也是为了提醒大家,面对生活中的新型诈骗手段能提高网络安全意识,保护个人隐私信息及财产安全。”

AI换脸采用的生物识别技术一直是一把双刃剑。从此前的手机应用ZAO换脸游戏饱受诟病,到小学生仅用一张照片就破解了丰巢人脸识别应用,打开了快递柜,不断发生的人脸识别安全事件,也将这个技术推上了风口浪尖。

排队体验AI换脸安全风险后,体验者有很多害怕和疑虑。对此,奇安信技术人员给出了建议:在通过人脸识别设置相关登录口令时,要与数字口令等多种形式的口令相结合。同时,该技术人员也建议,相关人脸识别产品厂商在设计产品功能时,要将安全纳入顶层设计,在规划功能的同时,也要有相应的安全解决方案。

■手机上演“窃听风云”

苑一时介绍说,现场还有一个NFC隐私信息窃取体验区。当普通观众的银行卡、钱包或手机靠近信息窃取设备时,银行卡的个人隐私信息,如卡片的类型、卡名、卡号、持卡人姓名、身份证号码和近期十条的交易记录都会在屏幕上展现。“黑客携带具有RFID读卡功能的信息窃取设备,靠近攻击对象,在不打开对方钱包的情况下窃取银行卡的隐私信息,进而对隐私信息进行贩卖交易,甚至结合别的攻击手段窃取被攻击者的银行财产。”上述技术人员说,对于此类攻击,大家可以采取对重要的银行卡片及身份证件使用安全卡套,对卡片进行安全隔离等手段,防止信息被隔空窃取。

不过,令记者感到意外的是,相比近身盗取卡证信息,手机远程窃听的风险更为常见。据技术人员介绍,手机远程窃听攻击是近两年生活中频发的真实黑客攻击案例,在很多公共场所有很多免费WiFi,黑客攻击免费WiFi路由器或者自己搭建一个恶意WiFi,当用户在连接到被黑客攻击篡改的WiFi后,再使用未经过安全检测的APP应用软件时,黑客便可以在用户未感知的情况下,直接远程获取用户的前置摄像头、文件夹,远程录制麦克风、发送短信、获取用户手机的通讯录,黑客便可以在用户未感知的情况下,远程控制用户的手机,用户的信息将完全暴露。

为此,技术人员建议,在公共场所不要连接安全性未知的免费WiFi;家庭路由器要定期更新路由器的设备固件程序;定期修改WiFi密码和管理员密码;尽量不要使用可能泄露WiFi密码的软件;不要轻易连接陌生的WiFi热点;不要下载或安装不明的APP软件,不要赋予软件过多不必要的权限;要从官方网站和渠道下载手机APP,并通过官方渠道更新升级APP。

■组合认证方式更安全

“无论使用口令还是刷脸,本质上都是静态、单维度的认证方式。”奇安信集团副总裁、身份安全专家左英男说,“无论这些技术有多先进,一旦口令泄露、相关单一的认证因子被不法者得到或者刷脸系统出现漏洞,用户权限就会完全被不法分子得到,后果可想而知。”

左英男介绍说,静态、单维度的认证方式,就是完成一次认证后,系统就会默认登录者是合法用户,这时就可以利用用户的权限去完成数据查询、下载、支付等一系列动作。快递柜事件表明这种方式是不安全的,其人脸识别只是在小学生一个很简单的手法下就被攻破了,遑论更高级的攻击方式。“问题主要出在单一因子。”左英男认为,不论是字符口令,还是指纹认证、人脸识别等,任何单一的手段都不能保证绝对的安全。因此,在认证平台架构上就要用零信任、多因子的架构。所谓零信任,就是基于任何人都不可靠的假设;多因子就是持续、多维度的认证方式,以此保证每一步操作都是合法可信的。

例如,快递柜事件中的快递柜必须在人脸识别的同时再输入六位数的取件码才能打开。左英男认为,在不影响消费者体验的前提下,设置多个维度的认证方式,可以在一定程度上提升破解难度,从而提高安全系数。

“但相比上述静态认证方式,动态认证则更加安全。”左英男说,比如在异地进行转账等敏感操作时,系统会自动识别并启动如短信验证码、此前买过什么东西、勾选认识的联系人等更多维度的认证方式。通过这样的方式验证用户的真实性,如果不能通过验证,系统可能会限制操作甚至强制退出。

“无论是AI还是其他新技术,都存在一定的安全风险。”左英男认为,人脸识别与其他多种身份认证方式的组合,才能最大化地保证政企机构和个人消费者的网络安全。

未经允许不得转载,违者必究:安琪娱乐网 » 在这个刷脸的时代:“丢了脸”还可能丢钱

赞 (0) 打赏

评论区 0

评论前必须登录!

登陆 注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏