人脸识别那时基本上是手机的标准配置机能,弹出手机、PayPal、QQ退款、商业银行提款…..那些关乎个人财产安全可靠的关键事,都能透过人脸识别来同时实现。但你误以为每一人独一无二的人脸就很大很安全可靠?无锡一间子公司的年青技师辨认出了两个非常大安全漏洞,只需八卷刀片一头笔,就能随心所欲弹出你的手机。
两张奇妙石墨随心所欲关上各式各样手机
实验者在自己手机的人脸按键上,贴了一层特殊刀片。
在连续几次锁屏、人脸开锁的操作后,把手机再交给别人。
此时,其他人能随心所欲关上实验者的手机,甚至用番茄等其他物品代替也能。
实验者以同样方法测试了其他几款手机,无一幸免。
仅有的区别是苹果手机在贴膜后,第一次弹出无效,使用者重新录入人脸后,其他人才能关上。
奇妙石墨究竟做了什么手脚?
实验者介绍说,这层膜其实就是一层普通刀片,发挥作用的是刀片上的由导电涂层涂上去的图案。
并且,导电涂层有很多,最常见的就是导电笔,一队几十元,很容易就能买到。
实验者解释说,根据手机人脸弹出的设计原理,手机感应到图案,只要有20%左右的面积与模板相同,手机就能弹出。带有涂有导电涂层的石墨,人脸和导电涂层大约各占了一半的面积。
当我们把这个刀片粘在弹出按钮上,并由手机主人弹出时,手机读取的是正确的人脸,忽略了导电涂层的存在。
然后别人手指再按在这层膜上时,手机则会读取导电涂层的数据,忽略了陌生人的人脸,这样手机就被弹出了。
也就是说,如果手机被不法分子事先贴上了导电涂层,机主又使用过了的话,不法分子再拿到手机时就能随心所欲弹出,关上手机PayPal和QQ,同时实现人脸支付、提款。
更可怕的是,除了普通的手机,用人脸开启的防盗门,也可能被不法分子利用!
已向国家四部门举报
相关厂家正在被约谈
目前,辨认出安全漏洞的无锡该子公司,已经向工信部、公安部、中国人民商业银行、网信办,举报了手机人脸弹出存在的安全漏洞。
据悉,相关部门正在约谈几大手机厂家,再过一断时间,可能就会要求厂商进行整改。
视频▼
科普时间
在手机人脸键上,贴透明胶布的过程中究竟发生了什么呢?真正发挥作用的,并不是透明刀片,而是刀片上用导电涂层涂抹的图案。用带着这个图案的胶布贴上去,它就变成万能弹出器了。
在解释导图案所发挥的作用之前,先来科普两个,信息加密和弹出的知识这个原理看似复杂,但其实就是古代的虎符。
古代的虎符,从中间劈开分成两半,当两半符信完全对上,即表示验证透过。同样道理,我们首次录入手机人脸时,手机本地数据库就会保存下两个人脸图案。那么以后若干次,你使用人脸识别机能的过程其实就是一次次,用你的手指去和手机已经存储的人脸,进行比对的过程。
鉴于人脸的唯一性特征,这本是很安全可靠的技术。但那时,这个安全可靠性被什么打破了呢?当手机的人脸按键,贴上动了手脚的刀片后机主手指按键时,透过传感器手机就会生成两个新的人脸图案。
新人脸图案=导电液图案+机主手指人脸
在机主连续锁屏,再人脸弹出开机之后,智能机的学习机能,就能让它机灵地记住新的、带有导电液图案的人脸图片。
这时,机主的任何一根手指或任何人的手指,甚至任何面积能恰好按压人脸键的工具去进行人脸弹出时,会形成两个个带着同样导电液图案的新人脸,而手机只要识别这个导电液图案就会放行。
手机人脸识别,并非要100%比对一致
因为手机的人脸识别,并不是我们想象中的要100%比对一致,才会验证透过弹出,而是只要导电液图案那么一点点。(不同手机人脸算法不同,可能会有差异)
更进一步说,对于某些手机而言,实验者说,甚至不用导电笔(用导电笔画的图案做实验,传感器更灵敏),把头发丝团成几缕,再用刀片紧密地封住,确保能让机主形成两个带着发丝痕迹的人脸,再让机主几次锁屏、人脸弹出之后,别人也能解开你的人脸锁。因为手机一旦能识别出,同样的头发丝图案也会以此为依据,验证透过,弹出放行。
在这个方面,苹果机比安卓机要略好一步,在苹果机被贴上,涂了导电液的人脸贴后(网购平台有很多苹果人脸贴,目的是防油汗),苹果机会出现无法识别的提示。但是,你按着人脸贴,重新输入人脸之后,它就会跟安卓机一样乖巧了。
说到这儿,明白问题的关键了吧?不是刀片纸、导电笔,也不是神秘图案,而是我们的手机对人脸的识别并不是严格的100%的比对,是以局部比对代替整体比对。这,就是手机人脸识别的安全漏洞。
把以上的解释,用术语总结一下就是:利用手机传感器把攻击图像输入手机数据库再利用人脸识别安全漏洞,同时实现弹出。(ps:攻击图像就是带了导电液图案的新人脸)
那为什么手机不能同时实现,100%比对呢?实验者的解释是:手机人脸识别技术是芯片厂商打包供应的,但大部分芯片厂商,在算法领域并不专业,包括苹果的供应方,而安卓机的供应商人脸技术的安全漏洞可能更大。当然,用户体验也是两个原因,100%的比对,势必需要更多的时间和耐心。
所以,目前包括苹果在内的人脸算法供应商只是做了人脸认识,而不是严格的人脸识别。
手机商设置人脸识别错误上限
规避这个天然BUG
为了规避这个天然BUG,可能会带来的安全漏洞很多手机商都设置了人脸识别错误上限。但是这个权宜之计,并不能涵盖所有使用场景。实验者说,他们之所以会辨认出人脸安全漏洞,就是因为一次安卓机摔坏,人脸键形成永久裂纹后,那只手机变为人人能弹出开始的。
此外,实验者还揭秘,很多手机在人脸录入时,只录入了部分人脸。因为更完整的人脸录入,可能会涉及到硬件的成本,以及手机的整体设计。那为何录人脸时,总能等到完整的大拇指呢?他说,很多时候那只是动画效果,表较真。
呃……好了,说到这里大家应该能明白安全漏洞是什么,产生安全漏洞的原因又是什么了吧。更安全可靠 VS 更便捷,真的是个两难的选择吗?等待国家相关部门的解决方案吧顺便等待不影响体验,同时又更强大的人脸算法出现吧!
在这之前,可能有人已经决定,暂时关闭QQ、PayPal的人脸识别机能,毕竟网购平台有那么多人脸贴在卖……
再加上,采用上述原理连一块橘子皮,都能关上手机……
你喜欢的
END
长按人脸 > 识别图中二维码 >
新媒体运营编辑 武兵
中国网财经官方QQ(ID:zgwcjzx)
来源: 中国经济网、新快报
注意:那时公众号有置顶机能了,点开中国网财经公众号,点置顶公众号键,就能将我们置顶了。此外,您还能将中国网财经添加到桌面,这样,您就能第一时间辨认出我们。
全国网约车司机交流群,交流经验,添加 微信:gua561 备注:加群!
如若转载,请注明出处:https://www.wyczc.com/13084.html