安卓手机人脸识别不堪一击：一副框架眼镜，一张纸，攻破19部安卓机！

近期，依托清华大学人工智能研究院设立的人工智能企业——北京瑞莱智慧科技有限公司（简称 “RealAI”）公布一项最新研究成果。

他们使用一台打印机、一张A4纸、一副框架眼镜，在15分钟内顺利破解国产手机的屏幕锁，19部安卓手机无一幸免。 原理是利用人工智能算法存在的“对抗样本”漏洞。

01    

19部国产手机，15分钟全部破解

19部国产手机，15分钟，全部被破解，这是如何做到的？

RealAI 团队选取20部手机进行测试， 其中19部为国产手机，涵盖了中高低端，全部被破解 ，没有被破解的是iPhone 11。

原因在于，iPhone 11采用的是3D人脸解锁方案，而其余测试中的国产手机采用的是2D人脸解锁方案。

RealAI 团队向《IT时报》记者还原了实验。

素材：采访对象提供

测试前，统一将一位测试人员A的人脸信息录入手机，另一位测试人员B 利用A的照片通过算法在眼部区域生成一个图案，专业术语叫干扰图像。

素材：采访对象提供

将图案打印出来贴在镜框上，随后戴上定制好的“眼镜”依次对手机屏幕进行解锁，最终成功率高达95%。

干扰图案打印出来后贴在镜框上，图源：采访对象提供

攻击者B戴上“眼镜”，解锁手机 成功率 高达95% ，图源： 采访对象

之所以能够“骗”过AI，干扰图案作用重大。

生成干扰图案用到的算法被称为“对抗样本攻击算法”，是结合攻击者与被攻击者的图像，再通过攻击算法计算出最佳的干扰图案，确保 只要攻击者加上干扰图案，就能接近被攻击者的特征，在人脸识别算法看来，就是同一个人了 。

但解锁一个手机可能容易实现，如何做到一副眼镜解锁多款不同手机呢？

“尽管是不同的手机厂商，但大家所使用的人脸识别模型都是类似的。我们可以先训练一个人脸识别模型，然后针对去做攻击，生成的干扰图案只要在这个模型上有效，那么拿来攻击不同的手机厂商，大概率也是有效的。 这种攻击方法在学术上叫迁移攻击方法。”RealAI 团队方面人士对《IT时报》记者解释道。

打印出的对抗样本，图源：采访对象提供

此前业内的研究多针对数字世界，RealAI团队改进了攻击算法和测试方法，才让攻击效果有了大幅度提升，据了解，此项研究也是世界上唯一在物理世界中成功破解多家商用人脸解锁的案例。

02    

不仅仅是手机，银行App被攻破

目前，RealAI团队的测试主要聚焦于2D人脸识别的手机，采用了3D结构光方案的手机比如iPhone系列、华为Mate Pro系列产品目前暂未突破。 据了解，华为Mate 20 Pro、Mate 30 Pro采取的是3D结构光方案。

2D和3D结构光方案的区别在于，活体策略以及人脸特征的提取方式不同。

比如，2D人脸识别以2D图像为基础，3D人脸识别是通过3D摄像头立体成像，可识别视野内空间每个点位的三维坐标信息，分析判断的准确性更高；

图源：网络

在人脸特征提取方式上，3D结构光对人脸有数万个采集点，而 2D则是基于可见光图像的人脸识别，搜集的信息更少，也就更加不安全 。

“苹果手机内部装了很多传感器，用于采集生物信息；而国产的多款采用3D方案的手机尽管与苹果的方案不太一样，相对于2D方案也要安全许多。我们的对抗算法还在迭代中，3D方案可以成功但非常不稳定。”RealAI团队方面人士说道，“基于3D方案的手机目前还是比较安全的。”

除了手机屏幕锁，微信、支付宝以及银行类App成为了大众支付常用的应用。这些应用也会用到人脸识别，是否存在被对抗算法攻破的隐患？

03    

不发人脸照片，是对自己最大的保护

早在此前，媒体公开报道了广东东莞某公厕内安装“人脸识别供纸机”，引来了部分市民对个人隐私泄漏的吐槽。

图源：IT时报

尽管东莞城管后续已经协调终止使用该设备，但依旧不能消除用户对人脸信息泄露的担忧。

记者注意到，近期，全国信息安全标准化技术委员会等机构发布了《人脸识别应用公众调研报告（2020）》，报告显示，有九成以上的受访者都使用过人脸识别，具体用途当中“刷脸支付”最为普及； 有六成受访者认为人脸识别技术有滥用趋势 ；还有三成受访者表示，已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。

图源：人脸识别应用公众调研报告（2020）

“普通用户可以做到的是，提高隐私保护的意识， 不要将自己的人脸照片传到别人很容易就能找到的地方。 比如微博、朋友圈。这样可以一定程度上降低人脸泄漏被攻击的风险。”RealAI方面人士说道。

作者／IT时报 记者 李丹琦

编辑／挨踢妹

排版／黄建

图片／采访对象、人脸识别应用公众调研报告（2020）、网络

来源／《IT时报》公众号vittimes

大家都在看