进入经济生活的各个方面
导语:随着刷脸支付的日益普及,亿万人民的资金、账户乃至个人隐私的安全风险已不容忽视。
来源:21世纪经济报道(ID:)
记者:侯晓义、陈志、谢忠祥
李一林、张楠编辑
十几年前的好莱坞动作片中,就有很多特工通过制作3D面具破解生物特征密码的场景。
这些曾经看起来很酷的科幻想法似乎正随着科技的进步变成现实。随着人脸识别、刷脸支付、指纹支付的普及,这一安全风险逐渐成为全民关注的问题。
近日,一家名为“ Ace”的美国人工智能公司声称利用3D面具突破了支付宝和微信的人脸识别系统,还欺骗了国内火车站的闸机,通过刷脸成功进站。
图片来源/
舆论一片哗然,微信支付则回应称,若发生人脸识别欺诈,将进行赔偿。
值得注意的是,该公司声称的破解支付系统和车站闸机的说法并没有视频证据,仅有文字报道。随后,深圳电视台用硅胶制作、耗资约10万元的高精度3D头模进行实验测试,结果显示2D门锁和手机2D摄像头均在数秒内被打开,但3D人脸支付系统并未被破解。
尽管专家学者以及国内多家专业机构对该公司宣称的成果提出质疑,但公众的担忧并未减少。
破解人脸识别只是侥幸吗?
刷脸支付系统被破解的消息,着实让国内互联网消费金融平台、信用卡机构“捏了一把冷汗”。
“这意味着他们还可以利用它窃取他人脸部信息,刷信用卡或申请网上贷款。”一位信用卡机构的人士说。
但事实上,攻克信用卡和互联网消费金融机构的人脸识别系统并不容易。因为当用户使用人脸识别刷卡支付或申请消费贷款时,相关金融机构出于安全考虑,通常会要求申请人完成眨眼、抬头、低头、摇头、张嘴等活体检测动作,以确保刷卡或申请贷款的是借款人“本人”。
因此,仅凭一个3D面具,并不容易突破人脸识别安保系统。“即使有人受聘在头上戴上3D面具,相关金融机构只需结合人脸识别+眼部虹膜识别技术,就能成功检测出应聘者是否在盗用他人脸部。”
前述机构人员认为,之所以能够“骗过”支付宝、微信等多个刷脸支付系统完成购物支付流程,是因为它有可能出现在小额便捷支付场景中。
因为这些场景都是基于提升客户体验、加快支付速度的考虑,对人脸识别的要求可能不是很高——只要通过人脸识别系统提取的用户面部特征与接入网络的公安部公民身份证数据库的身份比对结果一致(无需过多的活体检测步骤),即可完成支付和购物。
多位第三方支付机构风控技术部门人士也向记者透露,他们其实每天都在面临类似新技术的冲击。但事实上,很多新技术看上去“很炫酷”,但只要掌握操作技巧,就能快速破解,保证支付安全。
值得注意的是,人脸识别破解过程视频目前已被下架。
金融机构对人脸识别防火墙进行自检
这些第三方支付机构风控技术部门的人士也觉得不可思议,通过一个特制的3D面具就能破解人脸识别支付系统。
原因在于,我国多家信用卡机构、第三方支付机构、互联网消费金融机构针对人脸识别技术的安全均建立了多重风控措施。
最常见的做法是引入活体检测技术,要求申请人在人脸识别过程中随机完成点头、摇头、抬头、眨眼、张嘴等动作,以确保申请人不会利用照片或其他3D打印面具窃取或骗取贷款。
图片来源/
即使在网上信贷审核环节,不少消费金融平台也利用人脸识别中的“面部动作识别”技术,即通过观察申请人的微表情变化、细微眼球运动等,分析借款人陈述的真实性,从而降低欺诈和贷款诈骗的风险。
“事实上,金融机构的人脸识别技术还助力侦破了一起命案。”上述第三方支付机构风控技术部负责人透露。
此前,一名年轻女子被杀,凶手利用受害人脸部申请网贷。但在相关平台多次提醒申请人(受害人)眨眼、点头、摇头无济于事后,其怀疑申请人“状况可疑”,遂向相关部门举报,并协助经侦部门迅速抓获凶手。
“人脸识别支付系统之所以能通过特制的3D面具被破解,很可能是在少量便捷支付场景中雇佣人员佩戴3D面具通过,因为此类场景并不一定需要申请人完成大量的活体检测动作。只要人脸识别系统提取的用户面部特征与联网的公安部公民身份数据库的身份比对结果一致,购物支付审核就能快速通过。”
他指出,这意味着成本不低,因为3D面具一方面要逼真,另一方面还要尽量贴合使用者头部特征,避免出现明显瑕疵。因此,除非能通过特制的3D面具骗取巨额“盗用”资金或获得网络信用贷款,否则这样的操作势必无利可图。
在上述信用卡领域人士看来,即便制作出来的3D面具能够通过活体检测的审核,金融机构也有办法防范此类风险。
例如,金融机构可以结合面部识别和虹膜识别技术来判断申请人身份的真实性,因为目前人工智能公司很难“复制”一个人的眼睛结构特征。
他表示,刷脸支付攻克门槛,经过多次尝试,才有了少数成功案例。总体来说,这类操作成本很高,收效甚微,只能在一些小众便捷的支付场景使用,难以大规模推广。
“这也是国内很多第三方支付机构对此充满信心的原因之一。”他认为。
人脸识别安全风险频发
21世纪经济报道回顾了近期国内发生的生物识别风险事件,发现已发生多起此类事件。
早在2017年“315”晚会上,央视主持人就利用软件修改人脸图像,现场进行人脸识别,绕过了网络实名认证系统。也就是说,只需要用修图软件处理一下微博、朋友圈里的照片,就能通过某些银行支付APP的活体检测。部分支付软件存在技术漏洞,可能对金融安全构成威胁。
2018年1月,国内某支付平台人脸识别系统被曝存在“重大低级”漏洞,犯罪分子周某、杨某等在黑市购买公民个人信息,利用该平台漏洞更改账户密码、手机号,共窃取20余个账户资金28万余元。相关犯罪嫌疑人已被宜宾警方抓获。
今年1月,四川省公安厅网络安全保卫处破获一个利用软件制作动态人脸图像、破解人脸识别系统、盗取支付宝资金的犯罪团伙,抓获8名犯罪嫌疑人,查获公民个人信息数据3000多万条。
今年8月5日,某科技公司创始人王军透露,他几年前就利用3D打印技术自制了机器头,这两天用它测试支付宝的刷脸支付功能,把手机贴在头上,成功在某火车票APP上购买了一张9.5元从南京到宝华的火车票。
今年10月,浙江省一群小学生在课外科学实验中发现,只需打印一张照片,就能轻松“破解”丰巢智能快递柜的“刷脸取件”系统,取走父母的包裹。随后,有媒体进行测试,发现该漏洞确实存在,甚至偷拍的照片也能打开丰巢的快递柜。
今年11月,网上出现一则视频,一对双胞胎姐妹在网友要求下,测试两部国产手机的人脸识别锁屏和支付宝APP的人脸识别系统。尽管姐妹俩发型不同,姐姐下巴上有痣,姐妹俩还是成功解锁了手机屏幕。在测试支付宝“刷脸支付”功能时,妹妹利用姐姐的支付宝人脸识别支付功能成功转账。
图片来源:21世纪经济报道
(艾媒咨询)11月21日发布的《2019中国刷脸支付技术应用社会价值研究报告》数据显示:
2018年,我国移动支付用户规模较2017年增长17.2%,达到6.59亿人,预计2019年移动支付用户规模将突破7亿人。
刷脸支付作为新兴支付方式,目前普及程度有限,2018年中国刷脸支付用户规模达6100万,预计2019年刷脸支付用户规模将增长94.0%至1.18亿,预计仍将持续快速增长,2022年有望突破7.6亿。
随着刷脸支付的日益普及,亿万人民的资金、账户乃至个人隐私的安全风险已不容忽视。
龙头企业倡导风险防范共识
有用户向21世纪经济报道记者指出,目前不少银行、P2P金融公司的APP都已经使用了人脸识别技术。但在金融支付等领域大规模应用的情况下,由于不同公司的技术实力参差不齐,一些公司并未严格按照安全规范采用人脸识别服务,甚至常常为了提高用户体验而放弃安全性,暴露出巨大的安全隐患,以及因人脸识别漏洞导致资金被盗的可能性。
记者在采访中也发现,与前两年刷脸支付刚上线时企业对刷脸支付便利性的宣传和鼓励不同,近期头部机构对刷脸支付的宣传和推广也明显减少。
今年8月23日,支付宝发布《生物识别用户隐私安全保护倡议》,呼吁同行业的科技公司加入进来,并明确提出“企业在收集用户生物识别信息时,应遵循‘最少、足够’的原则,防止滥用”。
倡议指出,企业应对收集的信息进行加密存储,提高安全性,还应明确和规范用户信息使用的目的和范围,避免信息滥用,此外在具体使用上应建立保险机制,确保用户资金不丢失。
支付宝IoT事业部总经理钟尧表示,
科技公司也需要为保护用户隐私和信息安全做些事情。支付宝是最早研发人脸识别技术的公司之一,也是最早将人脸识别支付商业化的公司,积累了一套成熟的技术和体系,现在希望将这些经验推广出去,让从事生物识别的公司能够规范、正确地使用技术。
对于人脸识别在支付等领域的安全风险,一位金融科技公司业务人士指出,如何防范人脸识别风险,业界已经形成了一定的共识,需要从多方面做出努力。
首先,相关监管部门亟待完善人脸识别的安全标准,从监管层面严格制定准入门槛和安全防范措施,对涉及基金支付、金融等领域的人脸识别软硬件设备制定统一的技术标准,淘汰一批安全性能差的软硬件方案和设备。
其次,企业在采用人脸识别技术时,应加强指纹、人脸识别等用户生物特征数据的安全保护,防止相关敏感数据的泄露、违规存储,威胁用户隐私和财务安全。
最后,用户在使用“刷脸支付”等相关功能时也应谨慎,尤其是在使用中小企业开发的人脸识别功能时,应提高警惕和安全意识,防止因企业安全管控和开发技术不足而导致的隐私泄露和资金盗窃风险。
21 六月
朋友们,你们对人脸识别技术有什么看法?你相信3D面具能被破解吗?
数百万读者正在阅读……
本期编辑:南瓜
我在看,你呢?