今年的3.15主題為“用責任匯聚誠信的力量”,網(wǎng)絡安全也從前幾年的節(jié)選報道�����,一躍成為今年的重點關注領域��。今年的央視3.15除了繼續(xù)聚焦食品�����、藥品��、保健品行業(yè)外���,仍將網(wǎng)絡信息安全作為晚會的一個重點貫穿整場,“電信詐騙”����、“個人信息泄露”、“人臉識別破解”�、“二維碼安全”一件件與我們生活息息相關的事件,觸目驚心現(xiàn)場實驗���,看后不禁讓人后怕�����。
央視3.15晚會現(xiàn)場�,主持人打開手機軟件當中的人臉識別界面,在技術專家的幫助下���,讓自己的一張自拍照變成會眨眼的動態(tài)照片�����,以此攻破了人臉識別認證��。
破解人臉識別四連擊
第一擊:技術“肢解”人臉識別
現(xiàn)在許多APP開發(fā)者自身并沒有精力��、經驗去研發(fā)人臉識別�����,所以都是通過第三方API接口或SDK組件來獲得人臉識別這項身份認證功能���。這意味著,一旦APP應用自身安全防護強度不夠,攻擊者就可以通過反編譯APP應用程序��,修改其程序儲存值的方式繞過人臉識別�����?��;蛘叻治鯝PP數(shù)據(jù)結構�,通過修改入?yún)⒆值涞姆绞酱鄹幕铙w檢測完成后的圖片�,實現(xiàn)對人臉識別的破解。
第二擊:安全缺陷繞過人臉識別
安全研究人員發(fā)現(xiàn)�����,部分APP在使用人臉識別技術時����,沒有對圖像數(shù)據(jù)進行簽名,或者沒有給數(shù)據(jù)報文加入時間戳�����,導致某些關鍵識別數(shù)據(jù)可被截獲�����、篡改����。而有些APP為了提高人臉識別成功率所設置的“匹配閾值”也容易被破解調低,導致人臉識別功能失效���。
第三擊:變臉攻擊欺騙人臉識別
今年“3?15晚會”上演示的是通過Photospeak軟件進行“變臉”術����,來破解人臉識別中的活體檢測關�。那么從理論上推斷,一段足夠清晰的人物正面視頻也可以把“寫在臉上的密碼”錄制下來��,對人臉識別進行欺騙���。
第四擊:臉部模型冒充通過人臉識別
對于安全鑒別度低的人臉識別��,安全研究人員甚至可以通過3D建模���,構建人臉模型的方式實行破解。
封堵安全缺陷拆解“變臉炸彈”
通過深入分析破解人臉識別的各種技術與方法后能夠發(fā)現(xiàn)���,正是由于各類安全缺陷的存在���,使得人臉識別遭遇了“信任危機”��。那么要想拆解這枚“變臉炸彈”��,就需要從封堵安全缺陷著手開始����。
拆彈第1步:為APP搭建防爆墻
自身防護能力薄弱的APP�,很容易讓人臉識別成為馬奇諾防線。所以需要增強APP自身安全強度�����,通過dex加殼���、內存防護���、so庫文件加密、資源文件加密等多種APP安全加固技術協(xié)同實施保護����,達到增強APP靜態(tài)安全、動態(tài)安全�、交易驗證安全、數(shù)據(jù)安全以及發(fā)布完整性的目標��,抵御反編譯���、惡意篡改��、二次打包等入侵攻擊行為��。
同時也要對SDK實施安全加固保護�,例如進行Jar包源代碼動態(tài)加密��、本地數(shù)據(jù)文件動態(tài)加密��、so代碼段加密��、so數(shù)據(jù)段加密����、so函數(shù)表加密、SDK完整性校驗�、SDK防調試保護等。
通過對APP實施多重加固安全保護�����,消除各類安全缺陷,能夠防止“堡壘被從內部攻破”問題的出現(xiàn)����。
拆彈第2步:多因子認證打造身份認證立體防御體系
在許多安全性高的應用場景里,人臉識別其實僅僅是其身份認證中的一個環(huán)節(jié)���。除了傳統(tǒng)的賬號�、密碼����、認證碼等身份認證外,還會引入指紋識別���、語音識別��、虹膜識別等更多身份認證環(huán)節(jié)�����。以這種多層次��、交叉識別多因子認證的方式���,整體增強身份認證的強度���,極大的降低了身份認證被攻破的可能性��。
拆彈第3步:用戶畫像提升人工智能認知安全
如今異?�;鸨娜斯ぶ悄茴I域里��,人臉識別是人工智能系統(tǒng)認知外界�����、獲取外部信息的一個重要基礎渠道���?����!白兡樥◤棥钡某霈F(xiàn)����,將把人工智能炸的暈頭轉向�����,甚至使其錯招頻出。
那么除了要增強人工智能相關模塊的代碼安全性外��,還可以借助用戶畫像技術��,通過分析用戶的日常行為特征�����,輔以威脅情報信息�,幫助人工智能構建、明確“你就是你――OnlyYou”�,提升人工智能的認知安全能力。
孤立的安全不可取
“3?15晚會”上“變臉炸彈”破解人臉識別的演示���,更多是要告誡廣大消費者們���,隨著人們連接進入網(wǎng)絡的手段方式愈加豐富,犯罪分子的可攻擊面也變得“豐富”起來���。僅靠密碼�����、手機短信認證���、人臉識別等單一的安全防護手段����,已經無法實現(xiàn)對自身安全的有效保護��。同時也再一次提醒相關廠商���,需要建立起足夠廣度與深度的多維度、多因子身份認證安全系統(tǒng)防線�,孤立安全防護的時代已經謝幕!
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權所有方的��,皆為無意��。如您是字體廠商����、圖片文字廠商等版權方�����,且不允許本站使用您的字體和圖片文字等素材����,請聯(lián)系我們����,本站核實后將立即刪除!任何版權方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡碰瓷及敲詐勒索,將不予任何的法律和經濟賠償����!敬請諒解!
粵公網(wǎng)安備 44030402000264號