有人可以拿着你的照片取走你在快递柜里的包裹,你怕不怕?丰巢快递柜的人脸识别近日就被爆出了这样的“BUG”。
前些天,嘉兴上外秀洲外国语学校402班科学小队向都市快报《好奇实验室》报料:他们在一次课外科学实验中发现,只要用一张打印照片就能代替真人刷脸、骗过小区里的丰巢智能柜,取出了父母们的货件。随后,小朋友们还发来了几段视频佐证。
这是真的吗?
都市快报《好奇实验室》进行了验证:
结果是:
用照片,一秒钟时间识别成功 !又连续试了5次,4次全部成功打开。一次失败是因为照片没有拿稳。
如果把正脸自拍照换成偷拍的照片,还能打开柜门吗?出乎意料的是,丰巢柜又一次被打开了!
UC-download (2)
对此,@丰巢智能柜 官方很快也进行了回应:关于近期收到的取件反馈,经核实,因该应用为试运营beta版本,在进行小范围测试。收到部分用户友好反馈,已第一时间下线,完善后有关动态,可关注丰巢公告。谢谢大家的支持与鞭策。
为什么系统会“上当”?
靠一张照片就能骗过人脸识别的并不只有丰巢。
据《南国都市报》报道,去年,海口市一小区安装了人脸识别门禁系统,业主只需要往人脸识别系统前一站,摄像头便立即启动并进入人脸识别模式,只需一两秒钟门禁就打开了。
图片来源:南国都市报
该小区物业公司介绍,小区安装的门禁系统是2.0版本,未录入信息的外来人员都无法通过“刷脸”自由出入小区,使用人脸照片以及3D头套等手段扫描系统也不能打开门禁,比较安全。
但今年8月,记者到小区测试,结果用两位物业人员的照片“刷脸”进小区都成功了。一张人像照片就骗过‘刷脸’门禁,门禁形同虚设。
系统为什么会“上当”?这要从人脸识别的这项技术讲起。
据了解,目前,人脸识别技术可以分为两大类:基于2D人脸图像和基于3D人脸图像。2D人脸识别和3D人脸识别步骤基本上一致,都是图像数据获取-人脸检测-特征提取-信息比对。
2D人脸识别和3D人脸识别步骤(图片来源:天下网商)
但3D人脸数据比2D人脸数据多了一维深度的信息,不管在识别准确度上还是活体检测准确度上3D人脸识别都比2D人脸识别有优势。
因此可以看出,在人脸识别中,3D要优于2D。
丰巢快递柜摄像头采集人脸的时候,形成的只是一张2D平面图像,也就相当于一张照片。2D人脸识别只是通过2D摄像头拍摄平面成像,所以即使算法和软件再先进,在有限的信息下,安全级别终究不够高,通过照片很容易被破解。
不过,不论2D还是3D的人脸识别,都存在着被假冒的风险,比如通过照片、视频、面具、3D打印头套等各种欺骗手段绕开人脸识别。
比如在2017年“315晚会”上,央视通过对人像照片进行技术处理,让这张照片变成受控的3D脸部模型,实现了扭动头部、眨眼睛的效果。并根据语音提示操作,完成了“眨眼”、“右转头”、“左转头”、“左右摇头”、“微笑”等更为复杂的面部动作,成功通过了一款APP身份安全认证,完成了刷脸登录。
要提高人脸识别的安全性,“活体检测”的技术非常关键。如果说人脸识别的功能是“认人”,那么活体检测的功能就是“识真”。识别在摄像头前接受测试的这张脸是不是真正的人脸。
据天下网商介绍,在2D领域,主要有配合式活体检测、静默活体检测等方式。
其中,配合式活体检测方式主要通过眨眼、张嘴、摇头、点头等配合式组合动作,验证用户是否为真实活体本人操作。
而静默活体检测无需用户进行繁琐的脸部动作,只要求用户实时拍摄一张的照片或是一段人脸视频,即可进行真人活体校验,一半时间在3-4秒钟左右。
在3D领域,活体检测的方法更加复杂,有近红外活体检测、深度信息活体检测等,这些都需要额外的摄像头进行辅助。
比如近红外活体检测,一般是一个可见光摄像头加一个近红外摄像头组成的双目摄像头模组。
可见光技术可实现人脸快速识别,近红外成像技术具有对光照不敏感,电子屏幕无法成像,可穿透墨镜成像等特点,能够有效地防止照片、视频等攻击,最后还能利用两个摄像头成像的相关性分析判断镜头前的活体。
深度信息活体检测则是利用3D结构光或TOF(Time Of Flight)获取3D人脸信息进行活体判断,同样需要额外的3D镜头。
都市快报《好奇实验室》提醒称,现在大部分智能手机都带有3D人脸识别系统,大家可以自己试一下,遮住一个摄像头后,不能解锁的就是真3D。
图片来源:截自好奇实验室相关视频
微信、支付宝的“刷脸支付”会有问题吗?
看到这些人脸识别被“破解”,网友有疑问了:那生活中比较常见的微信和支付宝的刷脸支付安全吗?
答案是——安全!
据中国青年报,微信方面表示:
微信刷脸支付使用安全等级最高的3D活体检测技术,综合使用3D、红外、RGB等多模态信息,可以有效抵御视频、纸片、面具等的攻击。
同时,微信支付会通过多维度安全风控策略确保账户安全,且提供多因子校验,部分用户需要输入与微信账号绑定的手机号或扫描二维码等进行校验,进一步提高了安全性。
微信刷脸支付出现账户冒用、盗刷等风险隐患是极小概率事件,如果因为刷脸支付导致账号资金损失,也可以申请全额赔付。
资料图,图文无关(来源:摄图网)
前段时间,AI换脸App“ZAO”一夜火遍社交媒体,但也同时引发了侵权、隐私安全和信息安全的风险。
当时,支付宝回应称:支付宝“刷脸支付”采用的是3D人脸识别技术,各类换脸软件有很多,但不管换的有多逼真,都是无法突破刷脸支付的。
不过必须承认的是,生物技术带来了移动支付方式的改变,自然也带来了相应的风险。《人民日报海外版》日前评论称:以刷脸支付为例,其基本原理是将终端硬件采集到的信息与云端存储的信息进行比对,看信息是否一致,然后解锁完成人脸支付。因此,如果云端生物数据库信息泄露,人脸支付就可能面临比较大的风险。
这也是消费者普遍担心的一点,如果生物数据库信息泄露,被不法分子利用,首先就是个人账户的安全问题,之后还可能会产生一系列的严重后果。
中国人民大学法学院教授刘俊海表示,针对刷脸支付,监管部门应该尽快出台相应的法律法规,对其加强监管。此外,企业也应当自律,保障消费者的信息安全,减少刷脸支付的安全隐患。