一、前言
想必大家对“面部识别”这项技术其实并不陌生,现在部分手机和电脑都配备了这项技术。除此之外,这项技术在很多其他的领域也得到了广泛应用。但需要注意的是,我们自己有时候都有可能被欺骗(例如双胞胎,或者故意伪装等情况),所以计算机根据视觉图像所作出的判断就更不用说了。最近,研究人员演示了一种新型的攻击技术:利用这项技术并配合3D渲染和少量的网络调查数据,攻击者就可以成功窃取你的“脸”。这听起来是不是有些恐怖?
二、研究介绍
北卡罗来纳大学研究团队所发表的报告:[ 点击下载 ]
在八月初的Usenix安全大会上,来自北卡罗来纳大学的安全研究专家和计算机视觉领域的专家演示了一套系统,这个系统可以根据网上的照片来构建数字化的3D面部模型,并使用移动虚拟现实技术来呈现这个“人脸模型”。根据安全研究专家的描述,这个系统可以成功欺骗计算机的面部识别系统。
一个以虚拟现实技术呈现出的面部模型,肯定是一个三维立体的图像。而这对一个安全系统而言,绝对是一个非常大的冲击。值得注意的是,研究人员所使用的VR系统可以运行在智能手机中,所以这个系统的可访问性和可移植性也就不言而喻了。
这些安全专家已经在五个不同的系统中测试了他们的这项攻击技术,并成功欺骗了其中的四个系统。而这项技术也应该给目前正在研究生物识别技术的研究人员们敲响一个警钟了,因为基于生物特征的身份识别技术仍然存在很多的问题,所以他们绝对是任重而道远。
由于你的身体特征基本上不会产生非常大的变化,所以你的生物识别数据一旦泄漏了出去,那么后果将不堪设想。而“头像”这种东西在网络社交媒体上可以说是到处都是,而很多用户会使用自己的真实照片来做头像,这就是一种极其不安全的做法。而Facebook对于攻击者而言绝对是一个巨大的宝藏,因为用户的面部生物特征数据在这里遍地都是。
三、深入分析
虽然此前也有很多其他的研究团队研究过如何欺骗面部识别系统,但是北卡罗来纳大学研究团队的研究方法与他们都不同。在此之前,其他研究团队的测试模型主要使用的是研究人员拍摄的照片或者是研究参与者提供的照片。而北卡大学的研究人员选择从一些社交网站上直接爬取照片,例如Facebook、LinkedIn、以及Google+等。他们使用图片搜索引擎从这些社交网站上收集了二十名志愿者的照片,而这也是很多攻击者同样能够获取到的资源。他们从各大社交网站中为每一位志愿者收集了3到27张不同的相片,并使用这些照片来作为测试数据。
值得注意的是,在这些自愿参与研究的志愿者之中,也不乏一些计算机领域的专家,而他们在自己日常的上网活动中非常注意保护自己的隐私。但是,研究人员仍然能够找到他们的照片(每个人至少三张照片)。
研究人员在五个不同的身份认证系统上测试了他们的VR面部模型,这五个认证系统分别为KeyLemon,Mobius,TrueKey,BioID,以及1D。这些面部识别系统可以用来保护数据和解锁手机,而它们都是消费者可以直接从Google Play商店和苹果iTunes商店中下载获取的。
为了测试这些系统的安全性,研究人员设法获取到了这些系统用于检测用户面部数据的主程序。他们将这些3D面部模型呈现给了认证系统的主程序,看看它们是否能够通过验证。除了使用网上的照片来制作这些面部模型,研究人员还在室内为每一位参与者专门拍摄了照片,并使用虚拟现实技术将这些照片呈现出来,然后再用这些模型来进行测试。研究结果显示,使用室内专门拍摄的照片所制作出来的面部模型通过了上述五个系统的认证。而使用网上的照片制作出来的面部模型只通过了其中四个系统的认证,成功率为55%至85%。