雜亂的產品市場

　　和國外的『人臉識別』技術多應用於安防領域不同，在我國，『人臉識別』技術主要應用於企業的考勤門禁、物業小區的安全防護和金融領域的開戶認證等，其中金融領域的應用佔比較多。不過，目前比較常見的『人臉識別』技術主要出現在考勤機等應用上。

　　《法制日報》記者以購買者的身份采訪了北京市一家專業從事『人臉識別』設備銷售的企業，並現場測試了一臺集『門禁』『考勤』為一體的多功能考勤機。

　　在現場，記者首先進行人臉照片錄入，主要對人臉的眼眶、鼻區以及嘴部三塊區域進行圖像采集。錄入之後，記者站在機器前進行識別，只要一進入攝像頭可照范圍之內立即就被識別成功。不過，記者摘下眼鏡或者更換眼鏡以及調整眼鏡佩戴角度後，考勤機無法識別成功。此外，用照片比對，該設備依然無法識別。

　　據工作人員介紹，目前『人臉識別』考勤機的價位從數百元到上萬元不等，價格越高，識別的精確度越高。記者測試的這款產品是最暢銷的千元機，只要臉部采集到的數據能吻合到六成以上，便能認定是同一人。不過相對而言，由於采集時拍攝下來的一些特征相對單一，所以精確度也會受到影響。

　　記者還在淘寶通過搜索『人臉識別考勤』聯系上一家賣『人臉識別』考勤機的店鋪，並反復詢問客服人員是否可以通過人臉的照片或者人臉視頻進行打卡，客服都回答說不可以。在該商品的問答區，也有網友詢問是否可以用手機上的照片或者視頻代替打卡，有一個購買過該考勤機的網友回答說自己試了，發現不可以。

　　記者隨後搜索『人臉識別鎖』，發現這類商品品牌繁多。記者聯系了銷售量排名靠前的一家商鋪。在演示視頻中，記者看到，演示者利用人臉的照片和視頻嘗試多次都無法開鎖。商家承諾稱，如果用戶在使用過程中發現可以用照片打開，他們會賠償1萬元。在商品的問答區，已經購買的網友也表示自己嘗試用照片開鎖，但沒有成功。記者詢問客服人員，這個『人臉識別』鎖的原理和苹果新發布的iPhoneX手機的FaceID是否相同？客服人員稱，他們的鎖『采用面部3D骨骼識別技術，紅外掃描面部輪廓，化妝、燈光明暗、胖瘦等不會影響識別，可以開鎖。「人臉識別」系統是取臉上很多個點，計算各個部位的點的距離。這個算法與是否化妝沒有關系，不影響識別。而且，在燈光暗的情況下也能識別，因為「人臉識別」鎖有兩個帶有夜視功能的紅外探頭，只要把臉和手掌顯示在屏幕框內，照樣可以識別開門。小朋友身高達到1.3米的都可以「刷臉」』。客服人員說，『照片絕對打開不了這把鎖，此鎖采用是3D骨骼識別技術，戴眼鏡的朋友請戴著眼鏡錄臉。化濃妝、發型，都能准確識別。另外，如果臉部整形動了臉部三分之二的，就有可能識別不了，需要重新錄入。』

　　那麼，使用3D仿真面具是否可以騙過『人臉識別』系統呢？對此問題，客服人員沒有正面回答。

　　在問答平臺『知乎』上，一位網友回答了『目前人臉識別技術最大的挑戰是什麼』這一問題，其答案獲得最高贊。這位網友告訴記者，淘寶上賣的『人臉識別』鎖不能保證絕對安全。記者詢問這種產品是否有可能被3D仿真面具欺騙？這位網友說，這種情況可能發生。

　　記者隨後在淘寶上搜索『3D面具』『乳膠面具』，發現這種產品也有不少，有的面具不僅改變了容貌，而且改變了臉部的骨骼結構，戴上之後多有以假亂真的效果。

　　被破解的『人臉識別』

　　盡管『人臉識別』產品的客服人員聲稱一般不易被破解，但現實生活中已然出現了破解實例。

　　破解『人臉識別』的實例，要從一次網約車經歷說起。

　　一名市民通過網約車App下單。很快，車到了，但車輛、司機的信息均與手機客戶端上顯示的信息不符。為了趕緊回家，這名市民也顧不上太多，就直接上車了。結果，車開出去不到一分鍾，司機就扭頭對這名市民說要取消訂單。盡管這名市民一再拒絕，但司機還是堅持把她送回原處，讓她重新打出租車。

　　沒有辦法，這名市民只能再次用這款網約車軟件叫車，結果發現來接他的還是那名司機。司機說：『你要麼就打個出租車回去，只要你還用這個軟件約車，叫到的還是我的車。』

　　這名市民當時就納悶了，為什麼會這樣？一番打聽後，這名市民纔知道，附近有一個由30多名『黑車』司機組成的車隊，每名司機都有一堆虛假的司機賬號，上百個虛假賬號由同一個人來統一接單，然後通過電臺調度車輛去接人。因此，不管用戶打到哪個號，都會調同一名司機去接人。

　　了解到這些內情，這名市民更加不解，『這個網約車App上明明使用了「人臉識別」功能來驗證司機信息，為什麼這些司機可以使用虛假賬號』？經過一番軟磨硬泡，那名司機終於透露，『人臉識別』聽起來很厲害，但是他們有軟件可以輕易破解。

　　沒錯，『高大上』的『人臉識別』技術就這樣被一群『黑車』師傅給黑了。

　　以上故事是在Freebuf(國內關注度最高的全球互聯網安全媒體平臺)主辦的FIT2017互聯網安全創新大會上，平安科技安全研究員高亭宇在一場『關於人臉識別技術應用風險』主題演講中的一段描述。

　　說完這個故事，高亭宇現場展示了那名司機用來破解『人臉識別』技術的軟件——一款可以讓照片『張口說話』的App。

　　高亭宇說，從那之後，他開始琢磨『人臉識別』技術在實際應用層面的風險，並調研了市面上使用『人臉識別』技術的軟件，最後的結果出乎自己的預料。

　　通過分析，高亭宇發現，市面上大部分使用了『人臉識別』技術的軟件，其識別流程大致相同：檢測人臉→活體檢測→人臉對比(和之前上傳的自拍照或證件照)→分析對比結果→返回結果(通過或不通過)。

　　據了解，其中『活體檢測』技術即在『人臉識別』時要求用戶進行眨眼、點頭、張嘴等動作，以防止靜態圖像破解，國內多個知名App中的『人臉識別』都采用了這項技術。

　　高亭宇說，一般的App開發者不會自己開發『人臉識別』技術，而是通過第三方的API接口或SDK組件來獲得『人臉識別』功能，基於這個特點，他對『人臉識別』技術從接入到實際使用過程中的每個關鍵點進行了分析，最終在多個環節都找到了多個突破點，只要略施小計，就能讓『人臉識別』形同虛設。比如，注入應用繞過活體檢測，也就是通過注入應用的方式來篡改程序，從而繞過所謂的活體檢測功能，使用一張靜態照片就可以通過人臉識別。

　　在采訪過程中，甚至有業內人士這樣表示，『不是3D打印不行，如果用一臺精密的打印機，破解「人臉識別」同樣不在話下』。

　　『除了一般的考勤、賬號安全App之外，大量的銀行、P2P金融企業的App已經介入使用了「人臉識別」技術，其中金融行業在使用「人臉識別」技術時的安全性明顯高於一般應用；當「人臉識別」技術涉及關鍵業務時，安全防護水准往往更高。』高亭宇說，比如他在測試國內某P2P金融的客戶端時，嘗試『人臉識別』解鎖失敗數次後，該App就檢測出了可能存在惡意破解的情況，強制使用銀行卡信息、手機短信等其他方式來完成認證。

　　高亭宇在現場強調了一點，除了『人臉識別』技術在手機上的應用缺陷之外，許多問題導致的原因都是開發者在調用第三方『人臉識別』服務時，沒有嚴格按照一個安全的規范來做，接入流程不夠嚴謹，甚至經常出現為了提高用戶體驗而捨棄安全性的做法，這樣的做法在技術實力不強的小公司十分常見，最終導致的結果就是，讓用戶把密碼寫在了自己的臉上。

　　□本報記者趙麗

　　□本報實習生韓朝陽