人脸识别又曝出安全漏洞,15分钟解锁19部安卓手机,只需要一台打印机、A4纸、眼镜框,直接对着前置摄像头看照片,肯定解锁不了手机。而现在,RealAI团队有了办法,只需要一副定制的“眼镜”,就可以秒破解手机的面部识别系统。RealAI是清华大学人工智能研究院官方产学研机构,专注于AI安全攻防、鲁棒机器学习、隐私保护机器学习等前沿领域。眼镜是这样的。需要的工具也很普通:一台打印机,一张A4纸,一副眼镜框。用AI算法画出特殊图案,打印出来剪成眼镜的形状,贴在眼镜框上,就可以破解了。结果,15分钟内,除了一台iPhone11,其余19款安卓机型全部解锁成功。这也意味着,只要配备了人脸识别功能的应用和设备,黑客就有可能利用这个漏洞,对用户的隐私和财产安全构成威胁。那么它是如何实现的呢?安卓手机也不例外。与以往在实验室的测试不同,本次测试是真实场景下的真实“攻击”。测试过程非常简单,只需要三个步骤。首先,选择20个攻击对象。除了一部iPhone11,其余都是安卓机型。这些手机涵盖了国内排名前五的手机品牌,涵盖不同价位、不同型号,从低端机到旗舰机应有尽有。就连去年12月刚上市的旗舰手机也未能幸免。(可能大家能猜到是哪一个,手动狗头)第二步,录入人脸,即统一录入20部手机中同一测试人员的人脸验证信息。第三步,定制“眼镜”。攻击者拿到受害人的照片后,通过算法在眼睛区域生成干涉图案,然后打印出来剪成“眼镜”的形状贴在镜框上。这种“扰动模式”看起来像是受害者的眼睛模式,但实际上是攻击者通过算法计算生成的扰动模式。这种技术被称为“对抗性攻击”,它是通过使用“对抗性样本攻击”来寻找算法漏洞来实现的。其中生成的干涉图案是一个对抗样本。具体来说,将攻击者的图像设置为输入值,将攻击者的图像设置为输出值。该算法会自动计算出最佳的对抗样本模式,以保证两幅图像之间的相似度最高。最终,除了iPhone11幸免于难外,其他手机全部解锁成功,而且攻击难度几乎没有差别,全部秒解锁。此外,测试人员还发现,虽然低端手机的识别安全性普遍较差,但抵御攻击的强弱似乎与手机是否为高端机型没有直接关系。比如有一款2020年12月新发布的旗舰手机,经过多次测试,发现基本上是“一下子全部打开”。“如果它是开源的,黑客就可以破解一张照片。”事实上,反攻击技术并不新鲜。2019年8月,AI算法在现实世界中首次遭到攻击。莫斯科国立大学和华为的研究人员在额头上粘贴了一个对抗样本图案,可以让FaceID系统识别错误。去年7月,芝加哥大学团队开发了一套算法,只对照片进行了微小的改动,犹如披上了“隐形斗篷”,导致微软旷视人脸识别100%失败。但是,这些攻击只是让识别系统无法识别目标,并没有完成破解。如今,RealAI团队真正实现了破解过程,整个操作耗时不到15分钟,证明了对抗样本攻击在现实生活中可以造成安全威胁。另一方面,也印证了人脸识别系统背后的隐忧。正如团队成员所说:如果黑客恶意开源这个算法,上手难度会大大降低,剩下的工作就是找张照片了。言下之意,只要能拿到被攻击对象的照片,就可以快速制作犯罪工具并进行破解。不过,RealAI也表示,所有攻击研究的最终目的都是为了找出漏洞,然后有针对性地打补丁和防御。目前,他们已经研发出相应的防御产品,协助手机厂商做强做大升级。
