移動互聯(lián)網(wǎng)越來越便捷的背后 “刷臉”真的安全嗎？

• 2017年9月12日 ZhouXun來源：懂懂筆記 272 10
• 繁體

一周前，騰訊手機管家對外發(fā)布消息稱，警惕類似某些手機FaceTime視頻通話的詐騙事件。其安全團隊已經(jīng)驗證，的確存在用戶臉部視頻被錄制(盜用)的風險。

“你絕對不知道你有多少個人信息在互聯(lián)網(wǎng)上‘飄’?！崩?化名)說出這句話的時候，特意指了指自己的臉。

我們的姓名、性別、年齡、手機號、郵箱……也許在網(wǎng)絡上已經(jīng)是完全透明的了，但是連這張臉都要被“共享”，確實有點令人不寒而栗。尤其是面對著不小心曾在“灰產(chǎn)”上過班的技術人員——雷，聯(lián)想到無數(shù)次不經(jīng)意間面對各種手機應用軟件的場景，真想說，“還要不要臉啦”!

自拍、變臉、美顏、支付……今天，你刷了嗎?

網(wǎng)聊有風險，“視頻”需謹慎

搭載“黑科技”人臉識別的iPhone8發(fā)售在即，買了手機號碼后要“刷臉”激活、支付寶聯(lián)手肯德基試水“靠臉吃飯”，招商銀行可以“刷臉”轉(zhuǎn)賬......“人臉識別”這個詞，在商場和大街上到處都在出現(xiàn)，如今和別人聊天似乎不懂點“人臉識別”的知識都會顯得很OUT似的……

就在輿論都在為“人臉識別”技術進入商業(yè)化而歡呼的同時，這項技術所潛藏的一些危機也如同一盆冷水迎面潑來。

一周前，騰訊手機管家對外發(fā)布消息稱，警惕類似某些手機FaceTime視頻通話的詐騙事件。其安全團隊已經(jīng)驗證，的確存在用戶臉部視頻被錄制(盜用)的風險。

據(jù)騰訊安全專家楊啟波分析，目前一些支付APP采用了“人臉識別”生物識別技術，讓用戶直接“刷臉”支付，而不法分子利用FaceTime錄制用戶臉部視頻后，有可能借此通過單一“人臉識別”驗證，進而盜取用戶的賬戶里的財產(chǎn)。

“騙子這是采用被動方式騙取個人‘臉部信息’，其實大眾在日常生活中還會主動貢獻了許多‘臉部信息’。”作為曾經(jīng)從事臉部識別軟件開發(fā)的工程師，雷也對懂懂筆記表示，正因為“臉”是人們經(jīng)常暴露在外的“信息體”，所以更容易被漏洞或者不法分子所利用。

與臉有關，免費APP背后的“野望”

“你絕對不知道你有多少個人信息在互聯(lián)網(wǎng)上‘飄’?！崩妆硎?，過去許多用戶都知道各類免費App有收集提取用戶信息的風險，但卻不知道許多免費“變臉”的App其實也在保存著用戶的動態(tài)視頻信息，“所有女生多多少少都會用過一些‘變臉’軟件，所以被(運營者)保留的視頻信息里，女生居多?！?/p>

雷在去年加入了深圳的一家軟件開發(fā)公司，參與了一個“變臉”App的開發(fā)?！耙婚_始，以為這個項目也是靠廣告和交易分賬盈利的，但結果不是?！彼f，在去年“人臉識別”還沒火起來的時候，這個項目就開始做起了販賣用戶信息的勾當了。

“這個App雖然不是那么主流，但是在應用市場上也有好幾萬下載量，用的人還是有不少的。”雷說，這雖然是一款“變臉”軟件，但是在用戶使用的過程中，系統(tǒng)會自動截屏上傳至后臺，與用戶所提供的個人注冊信息相匹配。許多用戶在這個過程中，“臉”不知不覺就被“賣”了。

雷表示，一開始這些信息只是像傳統(tǒng)用戶資料般被非法販賣，但是在有了所謂的“真人照”之后，這些信息就變得值錢了?！耙粭l甚至可以賣到二十到三十塊錢?！彼硎?，這些信息一開始只被用作部分網(wǎng)絡平臺或者游戲平臺的“驗真”使用。但隨著一些App采用了人臉識別技術之后，這家初創(chuàng)公司發(fā)現(xiàn)了新的“財路”。

“人臉識別火了之后，有的電信運營商有自助‘實人驗真’系統(tǒng)，有的支付平臺采用了‘人臉支付’等等。這些都離不開臉部特征+動作這樣的驗證方式?！崩讖娬{(diào)，在人臉識別越來越多開始應用后，這個“變臉”平臺也采用了與其他人臉識別平臺一樣的登錄驗證方式，“登錄驗證也是搖頭、點頭、張開嘴等簡單動作。但不同的是，(變臉)平臺并不是驗證用戶信息，而是錄下了用戶驗證的整個過程?！币粋€完整的用戶“人臉驗證”的視頻，就這樣被儲存起來了。

“Facetime那個(視頻騙局)是被動錄下了用戶的臉，而有些App可是(利用獵奇)讓用戶主動將(視頻)信息送上門?！彼f，這樣一條視頻信息，可以被叫賣到50至80元不等，大量信息被販賣更讓用戶的隱私安全岌岌可危。

“如果說Facetime那種(隨機錄制的)視頻都可以解鎖部分‘人臉識別’系統(tǒng)的話，那這種正兒八經(jīng)做驗證動作的視頻危險程度更高?！崩籽a充道，在他離開這家公司之后才發(fā)現(xiàn)，做這種“買賣”的小公司并不只是少數(shù)。從技術層面上看，應用商店中有許多與“臉”有關的App都有保存用戶視影資料的嫌疑。

在網(wǎng)絡上，我們很可能都是透明的。

個人信息被買賣的事情每天都在發(fā)生。監(jiān)管難、違法成本低、有利可圖使得越來越多的機構熱衷于買賣個人信息或者交易，過去因個人信息泄密而導致的詐騙事件頻頻發(fā)生。

而現(xiàn)在，用戶影像資料也有平臺在非法出售，大量的“人臉”特征信息被泄露，讓本來具有單一生物特性的“人臉識別”技術變得不再安全。如果同時擁有了用戶外泄的賬戶信息以及人臉特征副本，利用“人臉識別”技術將個人財產(chǎn)轉(zhuǎn)移更是輕而易舉的事情。

人臉識別商業(yè)化，關乎誰擁有了大家的“臉”

無論是iPhone8的“人臉識別”，還是支付寶聯(lián)手肯德基的“刷臉吃飯”，都因為將“臉”與腰包里的錢掛鉤了，所以引發(fā)了不少人的質(zhì)疑，擔心“人臉識別”技術引發(fā)安全問題。

實際上，在今年央視315晚會上，人臉識別就被曝出可能存在安全威脅。就此事，專注人臉識別技術的商湯科技和曠視都表示，任何一種安全手段都不是獨立的，因此在實際應用中，不會將人臉作為唯一的憑證。就連近日最近媒體頻頻報道的肯德基杭州“靠臉吃飯”的KPro餐廳，也不是單獨依靠人臉識別技術單一完成支付認證的。

“站在機器前，機器可以通過鏡頭分辨用戶的身份，但是進行到最后一步的支付還是需要通過手機進行二次驗證?！斌w驗過肯德基KPro餐廳的一位讀者劉女士告訴懂懂筆記，支付寶的“靠臉吃飯”雖然很新奇很吸引人，但在實際使用上問題還是很多的。

例如，濃妝艷抹、頭發(fā)有留海的女生在識別過程可能會出現(xiàn)延遲或者一兩次重試;而在支付之前，用戶還需要輸入手機號碼后四位進行二次驗證。她坦言：“真的不如掃碼付款來得方便。”

而從去年就加入“刷臉”大軍的招商銀行，其4.0客戶端的“刷臉”轉(zhuǎn)賬功能仍舊建立在短信驗證通過的基礎上，十足雞肋。

如果這些支付過程都是為了刷臉而刷臉，豈不就是個噱頭?

不難看出，現(xiàn)階段所有涉及支付的系統(tǒng)都不是采取單一“人臉識別”技術，而是要結合短信、驗證碼、手機尾號等傳統(tǒng)驗證手段一并使用。懂懂筆記認為，采用多樣結合的驗證方法，表明許多企業(yè)在涉及“人臉識別”技術的商業(yè)化安全性上，也并沒有十足把握。更多的只是把“人臉識別”當成一項新的噱頭，嘗試吸引著大眾的關注。

如今，許許多多“人臉識別”的應用已經(jīng)逐漸商業(yè)化，走進大眾的生活。我們必須要對技術應用中所涉及的隱私和道德問題進行了一番新的思考。

螞蟻金服陳繼東曾指出：“從用戶隱私上來說，人臉識別和指紋、虹膜相比，屬于弱隱私。換句話說，你的臉，早就不是隱私了?！?/p>

但每個人的臉部特征是完全不同的，即便是雙胞胎也有著或多或少的差異。從某種意義上說，臉部數(shù)據(jù)是一種我們所有人無法逃脫的“數(shù)據(jù)鏈路”，很顯然，這已經(jīng)算是人的隱私因素之一。

有關人臉識別商業(yè)化所涉及的隱私問題一直備受爭議。

此前，F(xiàn)acebook因為未經(jīng)用戶允許而私自儲存和使用用戶的人臉識別數(shù)據(jù)而飽受詬病;而Google則因隱私政策和輿論壓力而禁止Glass App使用人臉識別功能。

在中國，不管是“變臉美顏”App，“換裝”App也好，甚至是納入“人臉識別”支付平臺或軟件，都無時無刻的“擁有”著大家的臉，每一次使用就將有一份臉部信息“標本”本保存下來。

如果說政府部門錄入民眾人臉信息“標本”有助于抓捕罪犯、預防犯罪，人臉識別便是鑒權的一種手段，一切都要在法律的框架下進行。而企業(yè)擁有這么多的“臉”，儲存和應用幾乎沒有完善的法律法規(guī)和監(jiān)管體系對其進行約束，讓數(shù)據(jù)隱私的暴露與否僅在一線之間。

虹膜、指紋、臉 科技的便利也是風險

“支付軟件刷臉支付本身就留下了一個‘標本’，在銀行刷臉取現(xiàn)也留下了一個‘標本’，各種與‘臉’有關的APP更是會留下一串‘標本’?！崩赘嬖V懂懂筆記，隨著科技的發(fā)展，人臉識別技術的商業(yè)化或許成必然，但是每個人的臉已經(jīng)讓許許多多商業(yè)機構有意無意間收錄了，這是一個十分龐大的“生物特征”標本庫。

假設一下，如果商業(yè)機構管理、運用不當，這些一經(jīng)泄露就會為所有用戶的信息、隱私甚至資金安全帶來嚴重的威脅。

“雖然小公司利欲熏心，買賣人臉數(shù)據(jù)，但是大公司也未必就能保證數(shù)據(jù)的安全不外泄，畢竟數(shù)據(jù)的掌控還有諸多人為因素。”他對此表示質(zhì)疑。

在個人隱私相關法律法規(guī)較為健全的美國，人臉識別在商業(yè)應用上都倍受民眾詬病，隱私泄露隱患始終不能令公眾放心。

目前為止，我國還沒有類似的機制或者第三方機構對于用戶數(shù)據(jù)提供監(jiān)管保全服務。特征隱私數(shù)據(jù)泄露與否，全憑企業(yè)“良心”與“能力”。

人臉識別充當著人工智能的“眼睛”，作為人工智能與外界交互的一項重要技術，人臉識別技術的安全性顯得十足重要。在人口紅利下，人臉識別有著十分龐大的市場空間，但在商業(yè)化上數(shù)據(jù)信息安全依然是所有廠商繞不掉的“門檻”。

隨著人臉識別在日常生活中應用越來越普及，很多廠商和輿論都把人臉識別萬能化了。實際上，高科技應用的背后依然有可能存在風險、存在漏洞，數(shù)據(jù)的防偽和安全性依舊是所有廠商需要共同攻堅的難題。

因此，懂懂筆記認為，在涉及隱私、支付等高級別安全場景使用時，應將人臉與指紋、虹膜、聲音等生物特征信號相融合，甚至與傳統(tǒng)密碼、短信驗證相結合，而不是單一的采用人臉識別技術，這樣安全的系數(shù)就會大大提升，避免一些不必要的潛在風險。

當然更重要的是，保護好自己這張臉，別沒事到處“刷”。

延伸閱讀

推薦閱讀

猜您喜歡