攻擊者拿到一張你的照片,據(jù)此制作一副特殊“眼鏡”,就可以刷臉解鎖你的手機(jī)?
這是真的。
最近,依托清華大學(xué)人工智能研究院成立的團(tuán)隊(duì)瑞萊智慧RealAI披露了新的研究成果:研究人員通過對(duì)抗樣本攻擊,破解了19款安卓手機(jī)的人臉識(shí)別解鎖系統(tǒng)。
同樣被破解的,還包括十余款金融和政務(wù)服務(wù)類App。
照片加上特殊“花紋”即可騙過人臉識(shí)別
在介紹RealAI的新研究之前,我們先簡(jiǎn)單解釋一下何為“對(duì)抗樣本”。
訓(xùn)練算法模型需要輸入數(shù)據(jù)。而對(duì)抗樣本,簡(jiǎn)單而言,就是一種由攻擊者設(shè)計(jì)的錯(cuò)誤輸入數(shù)據(jù)。只要在原有數(shù)據(jù)上添加干擾因素,就能導(dǎo)致算法模型輸出完全不同的結(jié)果。
人的肉眼可能完全看不出對(duì)抗樣本的變化。所以,你也可以把干擾因素理解為一種特殊的“花紋”。
對(duì)抗樣本最有名的例子之一,出自前谷歌大腦研究人員、有著“生成對(duì)抗網(wǎng)絡(luò)(GAN)之父”稱號(hào)的科學(xué)家伊恩·古德費(fèi)洛(Ian Goodfellow)——在他的研究中,算法將一張大熊貓圖片的對(duì)抗樣本識(shí)別成了長(zhǎng)臂猿。
研究人員在大熊貓圖片上添加干擾后,算法將其識(shí)別成了長(zhǎng)臂猿。
瑞萊智慧RealAI高級(jí)產(chǎn)品經(jīng)理張旭東介紹,他們此次采用的破解方式,也是對(duì)抗樣本攻擊。
不過,不同于學(xué)術(shù)界研究較多的虛擬世界攻擊,這一攻擊發(fā)生在真實(shí)世界。研究人員不需要用到劫持?jǐn)z像頭等手段,便可以直接破解人臉識(shí)別系統(tǒng)。
在制作對(duì)抗樣本時(shí),研究人員需要同時(shí)用到“攻擊者”和“受害者”的照片,將“攻擊者”照片設(shè)定為基準(zhǔn)、“受害者”照片設(shè)定為攻擊目標(biāo)。
攻擊算法在接收到兩人的照片后,會(huì)自動(dòng)生成干擾后的圖案,就像一塊人臉“補(bǔ)丁”。隨后,攻擊者用A4紙打印出這塊“補(bǔ)丁”,再貼到一副鏡框上戴好,就會(huì)“化身”為受害者,讓算法識(shí)別錯(cuò)誤。
據(jù)了解,人臉識(shí)別算法,是依據(jù)相似度來分辨不同的人。兩張圖片的相似度高于閾值,就會(huì)被算法判定為同一人。攻擊者通過戴上“補(bǔ)丁”眼鏡讓兩個(gè)人的相似度大幅提高,從而實(shí)現(xiàn)破解。
據(jù)介紹,研究人員選取了20款手機(jī)進(jìn)行測(cè)試,除了蘋果以外,還涉及到國(guó)內(nèi)五大主流手機(jī)品牌的不同價(jià)位機(jī)型。
經(jīng)過測(cè)試,除了一臺(tái)iPhone11,其余安卓機(jī)型全部被成功解鎖。攻擊者進(jìn)入手機(jī)系統(tǒng)后,可以任意翻閱機(jī)主的微信、短信、照片等私密信息。
在測(cè)試現(xiàn)場(chǎng)看到,攻擊者破解手機(jī)的過程相當(dāng)迅速,基本上幾秒內(nèi)就可以順利解鎖。
研究人員說,整體而言,低端機(jī)的安全性要差一些,但高端機(jī)同樣能夠被破解。他們測(cè)試了一款2020年12月發(fā)布的國(guó)產(chǎn)品牌旗艦機(jī),也是“一下子就打開了”。
不僅僅是手機(jī),部分App的人臉識(shí)別也存在類似的安全漏洞。
在掌握了受害者的姓名、身份證號(hào)、手機(jī)號(hào)等個(gè)人信息后,研究人員甚至可以在十余款銀行及政務(wù)類App上通過人臉識(shí)別驗(yàn)證,冒用受害者身份完成銀行開戶,或者查看受害者的社保、公積金等詳細(xì)信息。
值得注意的是,App實(shí)名認(rèn)證的安全要求比手機(jī)解鎖更加嚴(yán)格,一般會(huì)要求用戶進(jìn)行一些交互操作,比如眨眨眼、點(diǎn)點(diǎn)頭。但在測(cè)試中,研究人員把對(duì)抗樣本的眼睛部分挖掉,再做出眨眼、點(diǎn)頭等動(dòng)作,依然可以通過驗(yàn)證。
這意味著,即便是那些搭載了交互式活體檢測(cè)功能的商用人臉識(shí)別算法,依然能被對(duì)抗樣本破解。
目前業(yè)界主流的人臉識(shí)別算法都具備了活體檢測(cè)能力,所以之前常見的用一張照片、一段視頻來完成刷臉的做法已經(jīng)行不通。但對(duì)抗樣本攻擊針對(duì)的是算法模型底層的漏洞,完全不受活體檢測(cè)限制。攻擊者在臉上添加了局部擾動(dòng),導(dǎo)致算法產(chǎn)生了錯(cuò)誤識(shí)別。
“對(duì)于人臉識(shí)別應(yīng)用來說,這是一個(gè)此前從未有過的攻擊面,需要采取針對(duì)性的措施加固?!毖芯咳藛T說。
破解的技術(shù)門檻較高 但仍有現(xiàn)實(shí)威脅
不同的手機(jī)廠商和App,使用的人臉識(shí)別算法難道沒有差異?為什么同一副眼鏡能解鎖不同的手機(jī)和App?
張旭東告訴記者,一個(gè)對(duì)抗樣本不可能攻破所有的產(chǎn)品,但“在一定范圍內(nèi)是通用的”。“現(xiàn)在市場(chǎng)上在商用的主流人臉識(shí)別模型其實(shí)只有幾種。模型之間有可遷移性,也就是有相通的地方,所以我們可以利用這一原理去進(jìn)行攻擊,攻破這19款手機(jī)也只用到了兩幅眼鏡?!?/span>
需要說明的是,對(duì)抗樣本的制作,依賴于一個(gè)核心的算法模型。
張旭東介紹,雖然在此次的研究中,模型僅用5分鐘左右就可以輸出質(zhì)量較高的對(duì)抗樣本,但他們所使用的模型也經(jīng)歷了多次迭代的過程。
要開發(fā)出這樣的模型并不容易,技術(shù)門檻較高。但張旭東說,如果有黑客惡意開源相關(guān)模型,制作對(duì)抗樣本的難度就會(huì)大大降低,沒有技術(shù)背景的人也可以上手。
在人工智能領(lǐng)域,類似的案例并不少見,AI換臉便是典型。在Deepfake問世之后,各種各樣的開源換臉模型和軟件也相繼出現(xiàn)。裁判文書網(wǎng)案例顯示,一些犯罪團(tuán)伙便是使用開源軟件完成了換臉?biāo)夭牡闹谱?,進(jìn)而攻破一些金融支付類App。
還有外國(guó)開發(fā)者推出過一款A(yù)I軟件,可以把正常照片轉(zhuǎn)換為“裸照”。因?yàn)闋?zhēng)議太大,開發(fā)者很快下架了軟件。但直到很久之后,這款軟件還在各種網(wǎng)絡(luò)灰色渠道流傳,甚至被人高價(jià)出售。
研究人員建議:
不要隨便在網(wǎng)上發(fā)照片
令人不安的是,RealAI團(tuán)隊(duì)所使用的人工智能模型,對(duì)于受害者的照片沒有太高要求?!按蠹移匠T谏缃痪W(wǎng)站上傳的照片,只要能看清臉,其實(shí)就可以用來做攻擊?!睆埿駯|說。
因此,他建議大家不要隨便在網(wǎng)上發(fā)含有清晰人臉的照片,同時(shí)要保護(hù)好自己的手機(jī)號(hào)、身份證號(hào)等個(gè)人信息。
以銀行類App為例,雖然現(xiàn)在的支付轉(zhuǎn)賬操作都需要多因素驗(yàn)證,但一旦用戶的個(gè)人信息全部泄露,不法分子就可能同時(shí)完成刷臉、輸入手機(jī)驗(yàn)證碼等操作,使得多因素驗(yàn)證失效。
信息安全攻防,是一個(gè)“魔高一尺,道高一丈”的過程。在張旭東看來,就像照片攻擊推動(dòng)了活體檢測(cè)的誕生,未來,也需要有專門的產(chǎn)品和技術(shù)來應(yīng)對(duì)對(duì)抗樣本攻擊。
目前,研究團(tuán)隊(duì)已經(jīng)與測(cè)試中涉及的廠商取得聯(lián)系,協(xié)同推進(jìn)漏洞的修復(fù)。
“所有的攻擊研究,最終的目標(biāo)還都是為了找出漏洞,然后再去針對(duì)性地打補(bǔ)丁、做防御。”張旭東說,“我們攻克的人臉識(shí)別,其實(shí)只是廠商業(yè)務(wù)環(huán)節(jié)之中的一環(huán)。他們面臨的安全風(fēng)險(xiǎn)到底處于什么程度?要怎樣解決問題?不同的場(chǎng)景下,業(yè)務(wù)方所面臨的安全風(fēng)險(xiǎn)和加固需求都是不一樣的,需要大家一起去探索?!?/span>
責(zé)任編輯:李斌