“手機失竊”后續(xù)引發(fā)的人臉信息安全擔(dān)憂，誰來破解困局？

月前，一篇《一部手機失竊而揭露的竊取個人信息實現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》（原作者已刪除）引發(fā)熱議。作者老駱駝講述自己家人手機被盜之后，經(jīng)歷了一場與一伙專業(yè)老練、利用竊取個人信息盜取他人銀行賬戶資金的犯罪團伙斗智斗勇的事件。文章提到了眾多企業(yè)，也引發(fā)了眾多網(wǎng)友對人臉信息安全的擔(dān)憂。

黑產(chǎn)竊取個人信息實現(xiàn)資金盜取流程示意

10月10日消息，支付寶相關(guān)部門人員回應(yīng)稱，支付寶“非攻”安全實驗室的同學(xué)第一時間和老駱駝聯(lián)系上了，并了解了相關(guān)情況。回應(yīng)指出，文章所披露的黑產(chǎn)在支付寶里沒套到錢和信息;且支付寶承諾資金被盜全額賠付，包括手機丟失導(dǎo)致的。

在后續(xù)的具體回復(fù)中，支付寶相關(guān)部門人員還指出黑產(chǎn)并沒有突破（支付寶）人臉識別，能注冊新號是通過其他渠道已掌握的身份信息和短信驗證碼，在常用設(shè)備上實現(xiàn)的。

人臉識別的應(yīng)用危局

當(dāng)下，人臉識別技術(shù)作為人工智能與大數(shù)據(jù)技術(shù)發(fā)展的產(chǎn)物，近年來，隨著世界范圍內(nèi)的人臉識別技術(shù)研發(fā)的突破，已經(jīng)被廣泛應(yīng)用于如行政服務(wù)、金融業(yè)務(wù)、單位考勤、門禁系統(tǒng)以及司法辦案之中。

“人臉解鎖”、“刷臉支付”、“刷臉進出”為百姓生活中的一部分，但人們在享受其給工作和生活帶來便利的同時，基于此產(chǎn)生的數(shù)據(jù)隱私安全性問題也引起了社會普遍的關(guān)注，如何對其設(shè)置更為合理和科學(xué)的監(jiān)管規(guī)則來保護個人隱私與數(shù)據(jù)安全成為時代的難題。

標(biāo)準(zhǔn)所造成的困境

而另一個令人憂心的現(xiàn)實是，當(dāng)下除開金融機構(gòu)之外，對個人信息保護并沒有一個國家標(biāo)準(zhǔn)，同時由于其性質(zhì)與金融行業(yè)不同，敏感性較低，因此在大多數(shù)情況下采用的人臉識別系統(tǒng)都較為落后。

除此之外，根據(jù)廣西某公司員工爆料，目前市面上人臉識別系統(tǒng)比較大的問題在于買不起。該員工稱，她購買國內(nèi)某個知名CV企業(yè)的108點人臉識別系統(tǒng)（注①），對方報價要30余萬元，但購買名號稍小的企業(yè)系統(tǒng)對方的質(zhì)量又難以把握。幾經(jīng)挑選，最后選擇了某美妝軟件的人臉識別系統(tǒng)。

而這又引發(fā)了另一個問題，在試圖使用人臉識別這一技術(shù)的眾多企業(yè)中，中小企業(yè)無力承擔(dān)優(yōu)秀系統(tǒng)所帶來的成本問題，而較為落后的人臉識別系統(tǒng)雖然便宜，但卻有可能影響安全，這幾乎成為了一個死循環(huán)。

那么在標(biāo)準(zhǔn)的缺失與成本的影響這雙重因素下，就極為容易讓資本在逐利的過程中產(chǎn)生這樣一種舉措：“沒錢買好的就用相對一般的，左右沒有標(biāo)準(zhǔn)規(guī)定什么級別的人臉識別技術(shù)才允許被使用?！?/p>

妥協(xié)下的應(yīng)用

除卻上文中的標(biāo)準(zhǔn)問題外，人臉識別自身的技術(shù)問題也極易讓企業(yè)為了用戶體驗而妥協(xié)。

具體來說，圖像質(zhì)量越差，那么人臉識別的準(zhǔn)確率就越低。因此在日常應(yīng)用中，由于模糊、遮擋、大角度、逆光暗光等復(fù)雜環(huán)境引起的人臉圖像質(zhì)量問題會導(dǎo)致人臉識別準(zhǔn)確率過低，需要多次重復(fù)識別才能成功，從而整體耗時被大大拉長。

在人臉識別技術(shù)的應(yīng)用中，無論是早已融入我們?nèi)粘５囊苿佣藨?yīng)用，亦或是人臉識別閘機等安防端應(yīng)用中，多次識別不通過、不停變換人臉角度等待識別通過的尷尬場景多有遇到。

從用戶體驗的角度來說，人臉識別對于用戶而言并非是不可或缺的“安全選擇”，對于移動端用戶來說，密碼、指紋識別等安防手段早已移植并成熟，而對于閘機等安防端應(yīng)用所服務(wù)的客戶來說，指紋、射頻卡等原有成熟模式依舊可以為其服務(wù)。

這就導(dǎo)致另一個現(xiàn)象，一但用戶體驗過差，那么輕則將人臉識別技術(shù)擱置不用，重則還會對品牌的口碑造成不可挽回的下滑。在這種“脅迫”下，有不少企業(yè)選擇降低人臉識別技術(shù)的關(guān)鍵點位，對用戶體驗、口碑進行妥協(xié)，也是過去人臉識別技術(shù)頻頻被破解的原因之一。

日常威脅不止步于人臉

對于當(dāng)前的人臉識別危局來說，適當(dāng)?shù)奶嵘?a target="_blank">算法可在相當(dāng)程度上降低人臉識別被破解的風(fēng)險，例如為支付寶提供技術(shù)支持的曠視已具備千點級別關(guān)鍵檢測能力。相較于第一代關(guān)鍵點，千點可以將人臉的臉型、眉毛、眼睛、鼻子、嘴等部位完全勾勒出形狀，進行更為精確的人臉識別。

另外對于用戶的體驗而言，實質(zhì)上可采取技術(shù)手段進行彌補而非妥協(xié)，去除低質(zhì)量圖片，將篩選后質(zhì)量符合標(biāo)準(zhǔn)的圖像才送往下一個流程中，可令識別效率將大大提升。

基于特征提取原理，可通過神經(jīng)網(wǎng)絡(luò)從海量數(shù)據(jù)中學(xué)習(xí)獲取人臉質(zhì)量檢測關(guān)注的特征（主要包括光線、模糊、角度、遮擋、表情、噪聲等）并進行質(zhì)量判斷。

而回歸日常，就本次事件來說，由于手機號嗅探和短信嗅探，前者可以捕獲周圍在網(wǎng)的手機號，后者可以在 2G 網(wǎng)絡(luò)下嗅探到某個手機號的短信。因此即便是你在鎖屏狀態(tài)下隱藏了通知詳情，即便是你有 SIM 卡 PIN，攻擊者仍然可以通過這種技術(shù)獲取手機的驗證碼，進而展開相同的攻擊，這一點也值得我們引起注意。

不過令人慶幸的是，無論短信嗅探還是手機號嗅探，都只在 2G 網(wǎng)絡(luò)下才能進行。當(dāng)然，這對攻擊者并不難，一方面攻擊者可以找一個 3G 4G 信號不好只能連入 2G 的環(huán)境進行攻擊，另一方面攻擊者也可以展開降級攻擊 將連入 LTE 網(wǎng)絡(luò)的手機降到 2G，這個技術(shù)也算非常成熟的。

怎么防這套攻擊呢？很簡單，在蜂窩移動網(wǎng)絡(luò)設(shè)置里面將網(wǎng)絡(luò)模式設(shè)置為僅 4G，或者 5G/4G 即可。
責(zé)編AJX