人脸识别滑铁卢？拆解“变脸炸弹”急救包

今年央视“3·15晚会”上一个“变脸”身份证破解的演示，让许多人都出了一身冷汗！人脸识别技术即将大溃败？与人脸识别关系紧密的金融在线支付认证、人工智能等行业领域将遭受强飓风摧残？

其实在安全技术人员的眼里，破解人脸身份认证的方法还有很多。

破解人脸识别四连击

第一击：技术“肢解”人脸识别

现在许多APP开发者自身并没有精力、经验去研发人脸识别，所以都是通过第三方API接口或SDK组件来获得人脸识别这项身份认证功能。这意味着，一旦APP应用自身安全防护强度不够，攻击者就可以通过反编译APP应用程序，修改其程序储存值的方式绕过人脸识别。或者分析APP数据结构，通过修改入参字典的方式篡改活体检测完成后的图片，实现对人脸识别的破解。

第二击：安全缺陷绕过人脸识别

安全研究人员发现，部分APP在使用人脸识别技术时，没有对图像数据进行签名，或者没有给数据报文加入时间戳，导致某些关键识别数据可被截获、篡改。而有些APP为了提高人脸识别成功率所设置的“匹配阈值”也容易被破解调低，导致人脸识别功能失效。

第三击：变脸攻击欺骗人脸识别

今年“3·15晚会”上演示的是通过Photospeak软件进行“变脸”术，来破解人脸识别中的活体检测关。那么从理论上推断，一段足够清晰的人物正面视频也可以把“写在脸上的密码”录制下来，对人脸识别进行欺骗。

第四击：脸部模型冒充通过人脸识别

对于安全鉴别度低的人脸识别，安全研究人员甚至可以通过3D建模，构建人脸模型的方式实行破解。

封堵安全缺陷 拆解“变脸炸弹”

通过深入分析破解人脸识别的各种技术与方法后能够发现，正是由于各类安全缺陷的存在，使得人脸识别遭遇了“信任危机”。那么要想拆解这枚“变脸炸弹”，就需要从封堵安全缺陷着手开始。

拆弹第1步：为APP搭建防爆墙

自身防护能力薄弱的APP，很容易让人脸识别成为马奇诺防线。所以需要增强APP自身安全强度，通过dex加壳、内存防护、so库文件加密、资源文件加密等多种APP安全加固技术协同实施保护，达到增强APP静态安全、动态安全、交易验证安全、数据安全以及发布完整性的目标，抵御反编译、恶意篡改、二次打包等入侵攻击行为。

同时也要对SDK实施安全加固保护，例如进行Jar包源代码动态加密、本地数据文件动态加密、so代码段加密、so数据段加密、so函数表加密、SDK完整性校验、SDK防调试保护等。

通过对APP实施多重加固安全保护，消除各类安全缺陷，能够防止“堡垒被从内部攻破”问题的出现。

拆弹第2步：多因子认证打造身份认证立体防御体系

在许多安全性高的应用场景里，人脸识别其实仅仅是其身份认证中的一个环节。除了传统的账号、密码、认证码等身份认证外，还会引入指纹识别、语音识别、虹膜识别等更多身份认证环节。以这种多层次、交叉识别多因子认证的方式，整体增强身份认证的强度，极大的降低了身份认证被攻破的可能性。

拆弹第3步：用户画像提升人工智能认知安全

如今异常火爆的人工智能领域里，人脸识别是人工智能系统认知外界、获取外部信息的一个重要基础渠道。“变脸炸弹”的出现，将把人工智能炸的晕头转向，甚至使其错招频出。

那么除了要增强人工智能相关模块的代码安全性外，还可以借助用户画像技术，通过分析用户的日常行为特征，辅以威胁情报信息，帮助人工智能构建、明确“你就是你——Only You”，提升人工智能的认知安全能力。

孤立的安全不可取

“3·15晚会”上“变脸炸弹”破解人脸识别的演示，更多是要告诫广大消费者们，随着人们连接进入网络的手段方式愈加丰富，犯罪分子的可攻击面也变得“丰富”起来。仅靠密码、手机短信认证、人脸识别等单一的安全防护手段，已经无法实现对自身安全的有效保护。同时也再一次提醒相关厂商，需要建立起足够广度与深度的多维度、多因子身份认证安全系统防线，孤立安全防护的时代已经谢幕！