今年的3.15主題為“用責(zé)任匯聚誠信的力量”�����,網(wǎng)絡(luò)安全也從前幾年的節(jié)選報道�,一躍成為今年的重點關(guān)注領(lǐng)域。今年的央視3.15除了繼續(xù)聚焦食品���、藥品�、保健品行業(yè)外,仍將網(wǎng)絡(luò)信息安全作為晚會的一個重點貫穿整場�����,“電信詐騙”�����、“個人信息泄露”��、“人臉識別破解”��、“二維碼安全”一件件與我們生活息息相關(guān)的事件�,觸目驚心現(xiàn)場實驗��,看后不禁讓人后怕�����。
央視3.15晚會現(xiàn)場����,主持人打開手機軟件當(dāng)中的人臉識別界面,在技術(shù)專家的幫助下��,讓自己的一張自拍照變成會眨眼的動態(tài)照片����,以此攻破了人臉識別認證。
破解人臉識別四連擊
第一擊:技術(shù)“肢解”人臉識別
現(xiàn)在許多APP開發(fā)者自身并沒有精力����、經(jīng)驗去研發(fā)人臉識別,所以都是通過第三方API接口或SDK組件來獲得人臉識別這項身份認證功能�。這意味著�����,一旦APP應(yīng)用自身安全防護強度不夠����,攻擊者就可以通過反編譯APP應(yīng)用程序�����,修改其程序儲存值的方式繞過人臉識別����?��;蛘叻治鯝PP數(shù)據(jù)結(jié)構(gòu)��,通過修改入?yún)⒆值涞姆绞酱鄹幕铙w檢測完成后的圖片�����,實現(xiàn)對人臉識別的破解�。
第二擊:安全缺陷繞過人臉識別
安全研究人員發(fā)現(xiàn)�����,部分APP在使用人臉識別技術(shù)時,沒有對圖像數(shù)據(jù)進行簽名��,或者沒有給數(shù)據(jù)報文加入時間戳���,導(dǎo)致某些關(guān)鍵識別數(shù)據(jù)可被截獲�����、篡改����。而有些APP為了提高人臉識別成功率所設(shè)置的“匹配閾值”也容易被破解調(diào)低��,導(dǎo)致人臉識別功能失效。
第三擊:變臉攻擊欺騙人臉識別
今年“3?15晚會”上演示的是通過Photospeak軟件進行“變臉”術(shù)���,來破解人臉識別中的活體檢測關(guān)����。那么從理論上推斷��,一段足夠清晰的人物正面視頻也可以把“寫在臉上的密碼”錄制下來,對人臉識別進行欺騙����。
第四擊:臉部模型冒充通過人臉識別
對于安全鑒別度低的人臉識別�����,安全研究人員甚至可以通過3D建模,構(gòu)建人臉模型的方式實行破解��。
封堵安全缺陷拆解“變臉炸彈”
通過深入分析破解人臉識別的各種技術(shù)與方法后能夠發(fā)現(xiàn)��,正是由于各類安全缺陷的存在���,使得人臉識別遭遇了“信任危機”����。那么要想拆解這枚“變臉炸彈”,就需要從封堵安全缺陷著手開始���。
拆彈第1步:為APP搭建防爆墻
自身防護能力薄弱的APP����,很容易讓人臉識別成為馬奇諾防線���。所以需要增強APP自身安全強度�,通過dex加殼�、內(nèi)存防護、so庫文件加密�、資源文件加密等多種APP安全加固技術(shù)協(xié)同實施保護,達到增強APP靜態(tài)安全���、動態(tài)安全�����、交易驗證安全�����、數(shù)據(jù)安全以及發(fā)布完整性的目標���,抵御反編譯、惡意篡改��、二次打包等入侵攻擊行為��。
同時也要對SDK實施安全加固保護���,例如進行Jar包源代碼動態(tài)加密、本地數(shù)據(jù)文件動態(tài)加密����、so代碼段加密���、so數(shù)據(jù)段加密�、so函數(shù)表加密�����、SDK完整性校驗、SDK防調(diào)試保護等���。
通過對APP實施多重加固安全保護,消除各類安全缺陷,能夠防止“堡壘被從內(nèi)部攻破”問題的出現(xiàn)�。
拆彈第2步:多因子認證打造身份認證立體防御體系
在許多安全性高的應(yīng)用場景里�����,人臉識別其實僅僅是其身份認證中的一個環(huán)節(jié)。除了傳統(tǒng)的賬號��、密碼、認證碼等身份認證外��,還會引入指紋識別、語音識別、虹膜識別等更多身份認證環(huán)節(jié)。以這種多層次�、交叉識別多因子認證的方式�,整體增強身份認證的強度�����,極大的降低了身份認證被攻破的可能性�。
拆彈第3步:用戶畫像提升人工智能認知安全
如今異?;鸨娜斯ぶ悄茴I(lǐng)域里,人臉識別是人工智能系統(tǒng)認知外界�����、獲取外部信息的一個重要基礎(chǔ)渠道�?����!白兡樥◤棥钡某霈F(xiàn)�,將把人工智能炸的暈頭轉(zhuǎn)向,甚至使其錯招頻出。
那么除了要增強人工智能相關(guān)模塊的代碼安全性外�,還可以借助用戶畫像技術(shù),通過分析用戶的日常行為特征�,輔以威脅情報信息,幫助人工智能構(gòu)建��、明確“你就是你――OnlyYou”�����,提升人工智能的認知安全能力����。
孤立的安全不可取
“3?15晚會”上“變臉炸彈”破解人臉識別的演示�,更多是要告誡廣大消費者們,隨著人們連接進入網(wǎng)絡(luò)的手段方式愈加豐富,犯罪分子的可攻擊面也變得“豐富”起來����。僅靠密碼��、手機短信認證�����、人臉識別等單一的安全防護手段,已經(jīng)無法實現(xiàn)對自身安全的有效保護��。同時也再一次提醒相關(guān)廠商�����,需要建立起足夠廣度與深度的多維度、多因子身份認證安全系統(tǒng)防線����,孤立安全防護的時代已經(jīng)謝幕!
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意�����。如您是字體廠商�����、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們��,本站核實后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�,將不予任何的法律和經(jīng)濟賠償!敬請諒解��!
粵公網(wǎng)安備 44030402000264號