专栏名称: 电子商务研究中心
中国电子商务研究中心(www.100ec.cn)是国内一流的专业电商研究机构;综合电商服务机构;专业电商网媒门户。获取电商要闻/评论/数据/报告/会议/信息图/实战干货。立刻添加微信号:“i100EC”,加入电商人聚集的大家庭。
目录
相关文章推荐
草叔消费升级研究  ·  【东吴商社吴劲草团队|周报】双十一大促表现突 ... ·  昨天  
化妆品观察 品观  ·  1-10月,化妆品零售额突破3500亿 ·  3 天前  
化妆品观察 品观  ·  1-10月,化妆品零售额突破3500亿 ·  3 天前  
TikTokShop跨境电商  ·  10月热销170万美元!一条TikTok短视 ... ·  4 天前  
TikTokShop跨境电商  ·  10月热销170万美元!一条TikTok短视 ... ·  4 天前  
51好读  ›  专栏  ›  电子商务研究中心

央视315|换脸盗刷真相:自拍恐慌与躺枪的支付宝

电子商务研究中心  · 公众号  · 电商  · 2017-03-18 19:24

正文

导读:是的,在刚过去的央视《3.15晚会》上,被曝光的企业,将承载媒体接下来一年里的热点和素材来源。今日,小编就来为大家扒一扒...


01
躺枪过程:

  315晚会主持人通过“换脸”骗过人脸识别系统,成功登陆账号的实验,验证了支付宝等平台存在重大安全漏洞。针对支付宝等的“眨眼睛”技术,晚会上,主持人向观众展示了在提供一张自己的证件照,一分钟后软件便能将证件照变成可眨眼、可动嘴的动态照片,引起现场一片哗然。


      通过P图软件进行“换脸”后的照片,可以顺利通过“人脸识别”环节登录他人的APP?央视3·15晚会现场进行的一个消费风险提示实验,让不少人对自己的账号安全产生了担忧。

  3月15日晚间,针对这一人脸识别漏洞,支付宝在其官方微博发文称,支付宝只对在当前手机上用密码登录成功过的用户才开放人脸登录,不会出现只通过人脸信息就在新手机上登陆成功的情况。

  在央视3·15晚会的现场,主持人共进行了两个人脸识别的实验。实验一的过程是,主持人现场提供一张自己的照片,随后通过技术处理,这张静态自拍照变成了一张可眨眼、可动嘴的动态图片,然后用手机对准某人脸识别APP,成功登录。

  实验二则是,主持人现场选取一张观众的微博自拍照,技术处理后变成一张与观众一摸一样的3D人脸模型,主持人对准手机镜头,将脸膜套在自己的脸上直接换脸,同样对准人脸识别APP,按照指令一次完成眨眼等动作,就顺利完成活体检测认证,并登录账户。

  尽管央视并未公布登陆的是哪一个APP,但面对人脸识别登录漏洞引发的用户担忧,支付宝方面随即作出了上述回应,并问“你们都觉得我躺枪了吗?”。

  支付宝方面表示,人脸识别只是其多种保护中的一个环节,支付宝还会通过人工智能、风控系统等对账户使用情况进行安全监测以确保安全。



02
技术解读:

    一般而言,市面上大部分加入了人脸识别技术的APP识别流程包括以下步骤:

  所谓的活体检测,指用于人脸防伪的方法。一般通过用户的动作,例如:眨眼、张嘴、点头、摇头、微笑、眼动等,作为防伪线索。其中存在的漏洞就是,难以防住真人视频或者合成的视频,例如3D模型或者换脸算法、三维头套、合成照片或者视频等。

  支付宝人脸识别技术第一次进入公众视野还要追溯到2015年3月德国汉诺威展开幕式上,当时阿里巴巴董事局主席马云现场演示了“smile to pay”,并成功通过刷脸购买到一枚邮票。2015年12月,支付宝上线了人脸登录功能,只需要在手机前面“刷脸”就能取代密码进行登录操作。


03
假体攻击能不能防?

  通过P图软件进行“换脸”后的照片,可以顺利通过“人脸识别”环节登录他人的APP?央视3·15晚会现场进行的一个消费风险提示实验,让不少人对自己的账号安全产生了担忧。

1
问题包括

        1)如果动态照片也能合成识别成功,那现有技术和措施手段该如何防范?

  2)这种照片合成或动态影像合成的技术难度大吗?相应的手机应用会不会存在隐患?

  3)作为从业人士是如何看待这个问题的?分享自拍真的对隐私危害这么大?


2
专家点评

       山世光老师表示,因为没有关注到昨晚的3.15晚会,所以不能就单个案例做出分析。但从研究的角度来看,在人脸识别技术的研究领域,对于人造假体等攻击手段的关注在很多年前就已经开始。假体攻击的方式,比如常见的打印照片,用iPad或电脑屏幕、幕布投影等的视频骗过系统。


  邱学侃解释说,人脸识别需要通过两点认证身份,一是人脸比对,即判断待验证的人脸是不是本人,二是活体检测,即判断待验证的人脸是不是真实有效的。而这次演示,在已经掌握清晰正面照的情况下,主要针对第二点进行破解。他说,针对刷脸登录的破解,根据主持人提供的证件照片,现场技术人员借助人脸关键点定位和自动化人脸动效技术,通过将自拍照由静态改为动态,可以完成刷脸登录需要的眨眼、微笑动作。而活体检测的破解,则通过3D建模将现场随机选择的观众照片转变成立体的人脸模型。


  当主持人对准手机镜头将脸模覆盖到自己的脸上时,再结合前两项技术手段,使脸模能够跟随主持人脸部动作指挥,依次按照活体检测步骤要求,完成左右转头、眨眼、微笑等动作,最终骗过人脸识别系统,把一张可受任何人控制的脸模判断成了观众本人。


04
安全隐患

  据支付宝公布的2016年全民账单数据,支付宝实名用户已经高达4.5亿人,过去一年71%的支付笔数发生在移动端。而在2016年互联网支付交易19万亿,移动支付38万亿这一庞大数据背后,支付宝占了很大比重。未来,中国第三方互联网支付交易规模将更为庞大,这也预示着,支付宝的漏洞安全将会给用户带来更为严峻的问题,而“刷脸支付”仅仅是一个侧影。


  资料显示,支付宝安全问题时有发生,支付宝曾以50%的高风险率,位居第三方支付平台漏洞排行榜的榜首。据比格达塔(中国)研究院统 计,2010年11月至2014年5月,国内几大第三方支付平台已知存在系统漏洞99个,“支付宝”高达60个。而2016年发生了多起事件,如支付宝 AR红包漏洞、刷脸认证漏洞、支付宝盗刷漏洞等。而2017年一开年,支付宝便发生了致命漏洞——1月10日,支付宝被曝熟人几乎可以100%登录你的支 付宝账号并修改密码,实现对支付宝及绑定支付宝的银行卡的大额盗刷,引发社会性惶恐。


05
请少一些套路

  “其实目前普通人来破解人脸识别技术门槛还是挺高的,但是因为有技术团队对其进行了破解,所以风险是存在的。从而也会造成用户的不安全感”。在当下,自拍、证件照等人脸信息已经属于完全公开信息,类似3.15晚会现场演示的利用个人照片合成的安全隐患并非空穴来风。

  通过央视此轮宣传,至少让大家加强了这样一个意识:“无论生物识别多厉害也只能作为辅助。现在保证账户安全上密码还是不可或缺的重要手段”。Surface的人脸识别开启还需要红外摄像头辅助,支付宝直接用手机前置摄像头显然不够安全。

   近年来人脸识别逐步被应用到支付、开户、门禁、考勤等各领域,在长期的视觉分析研究中,他们发现人脸识别的技术厂商一般对人脸比对技术的关注度比较高,但有一部分对活体检测的重视程度明显不足,使用的算法比较简单,系统很容易被攻击。对此,360首席科学家、人工智能研究院院长颜水成建议,在涉及隐私、支付等场景使用时,应当将人脸与声纹、指纹、虹膜及其他生物认证信号相融合,保障用户安全。

  

06
结语:

  央视3.15晚会曝光后,我们看到这个行业自上向下都冷静了不少。此前,各家在描述人脸识别技术时丝毫不吝啬赞美之词和美好愿景,行业大力追捧识别准确率和高大上的应用场景。不过才一夜之间,大家都开始小心谨慎地加上了“补充手段,辅助方式”等前缀。

  事实上,“人脸识别”技术被支付宝作为一项重要的技术极力推崇,甚至无限夸大。在2015年德国汉诺威消费电子、信息及通信博览会上,马云竭力推崇“刷脸 支付”技术,被称为“呵呵付”。不过打脸的是,2016年12月17日支付宝刚一上线便出现了重大的安全漏洞——陌生人的脸对着支付宝“刷脸”也能够登 录,一度导致大批支付宝账号受到巨大的安全威胁。(来源:中国电子商务研究中心综合报道)


【3·15网络消费维权专项行动启动】


日前,国内知名第三方电商维权平台——中国电子商务投诉与维权公共服务平台正式启动“3·15网络消费维权专项行动”(www.100ec.cn/zt/16fwpd/),活动从2月15日起至3月31日止,重点关注网络消费者维权集中的电商网购、O2O、微商、海淘、外卖、消费金融、P2P等领域。无论是您个人遇到网购、团购、金融消费欺诈,还是您企业与互联网电商企业纠纷,均可通过投诉通www.100ec.cn/zt/315/或关注官方微信“网购投诉平台(DSWQ315)”进行在线投诉,我们将第一时间核实、受理、曝光。

》》点击“阅读原文”,进入【专题】“3.15网络消费维权专项行动”聚焦、反思、改变,并下载报告全文。



相关阅读


【曝光台】曝支付宝安全漏洞 余额宝遭盗频发

【聚焦】“刷单”组织者叫嚣:315晚会给我们做广告了!

【深一度】频盗刷Uber账户变“定时炸弹”:“优步代叫”产业链正在浮现

【315曝光】阿里打击刷单遭遇司法困境 刷手叫嚣月赚300万

【分析师观点】曹磊:支付宝们创新之余需做好安全监管

【电商预警】“洗劫”支付宝账户余额成产业链



点击关键词 看往期文章


  阿里丨腾讯丨百度丨天猫丨京东丨苏宁国美丨

  丨淘宝唯品会亚马逊考拉拼多多

  丨乐视饿了么携程滴滴美团点评摩拜

  丨马云李彦宏刘强东张近东张勇

   丨雷军贾跃亭姚劲波王健林王兴彭蕾

  报告曝光台三农跨境金融科技



(点击查看高清大图,获取电商主流新媒体资源)

中国电子商务研究中心(100EC.CN)

我们】中国电子商务研究中心(官方微信i100EC),“互联网+”国家战略民间智库,并运营国内领先电商资讯门户100EC.CN

【推荐】

网购投诉平台”(DSWQ315);(2)互联网金融理财神器:“互联网金融时代”微信号:hlwjrsd100

投稿[email protected],057187756579