人臉識別解鎖手機有潛在風險 閉眼解鎖OV秒開

　“不少手機廠商沒有加入活體檢測技術就敢啟用人臉識別技術，這在我們看來是不可思議的。”來自中科院云從科技的相關負責人對國內手機人臉識別技術表示不解。在今年10月舉行的一場黑客大賽上，來自百度實驗室的安全員高樹鵬僅用一張人臉照片就成功解鎖了兩部帶有人臉識別功能的智能手機，這讓手機人臉解鎖功能的安全漏洞暴露在公眾面前。在接受《IT時報》記者采訪時，高樹鵬透露，根本原因在于大多數手機人臉解鎖功能中均不進行活體檢測，以至于手機攝像頭很難真正區別“2D圖像”和“3D人臉”。

　　時隔兩個月，隨著iPhone X面世，又有一批全面屏手機跟風上市，“比指紋更快的人臉解鎖”成了新機營銷噱頭，OPPO、vivo、小米、華為最新上市的全面屏手機均帶有人臉解鎖功能。但在這些產品的宣傳中，除了強調0.1秒的高速解鎖外，卻很少提及隱藏在人臉解鎖背后的安全漏洞。

　　記者實測OV人臉解鎖

　　更新版本解鎖難度提升 但閉眼解鎖依然秒開

　　12月初，《IT時報》記者選取了目前市場上銷售最為火爆的vivo X20和OPPO R11s進行人臉解鎖測試。測試的版本分為出廠版與最新升級版。

　　“出廠版本”的測試中，記者使用人臉1∶1大小的彩色打印照片，在較暗光線下，經過數次角度調整后，被vivo X20誤認為“人臉”完成了首次人像錄入，再次使用相同照片則能成功解鎖。OPPO R11s 未能用照片解鎖成功，但中間系統幾度出現“停頓”，導致真正人臉都無法正常識別。

　　“最新升級版本”的測試中，記者用2英寸證件照和1∶1彩色打印照片分別進行測試，選取了正常光線與昏暗光線，在轉換了三十多種角度后，都沒能成功解鎖vivo X20和OPPO R11s。但在閉眼測試中，vivo X20和OPPO R11s表現不佳，正常光照下，vivo X20人臉閉眼解鎖通過率極高，幾乎達到90%。OPPO R11s的通過率相對略低， 但一旦定位攝像頭錄入角度，同樣能高概率閉眼解鎖。

　　經過實際測試后，《IT時報》記者發現，數月前媒體陸續曝光的“普通照片就能解開手機人臉鎖”的風險，在最新版本的vivo X20和OPPO R11s中已有明顯降低，但閉眼依然能人臉解鎖的漏洞，意味著“熟人風險”依舊存在。

　　對于人臉識別的風險，vivo X20與OPPO R11s都在系統內貼出了醒目的“免責聲明”——“手機可能會被面貌、外形與您相近的人或物品解鎖”“面部識別的安全性低于指紋、圖案密碼、數字密碼和自定字母數字密碼”“在暗光、強光和逆光環境下，面部識別的解鎖成功率會降低”……然而，雖然承認了在人臉識別技術中存在難以解決的漏洞，但目前這兩款手機的功能設置中，人臉鎖除了可用于解屏外，還可用于“應用加密”“文件加密”等重要功能。

　　專家解讀

　　手機人臉識別：營銷噱頭大于技術創新

　　“至少在目前還不具備真正成熟的手機活體檢測技術。”在為國內金融行業試點人臉識別方案的云從科技金融事業部總經理張興旺看來，從金融業的角度看，人臉識別技術沒有活體檢測，其安全性很難控制，因此，要推行人臉識別技術必需加載活體檢測。但目前國內的確沒有“快速可行的方案”可直接應用于手機人臉識別中，目前國產手機推行人臉識別功能，營銷噱頭大于技術創新本身。

　　活體檢測“慢”且“貴”

　　支付寶與騰訊微眾銀行的人臉識別技術，采用了多角度旋轉頭部和朗讀隨機數字串的活體檢測方式來提高人臉識別的安全系數，但類似按照指令完成動作的活體檢測并不適用于手機開鎖，用戶每次打開手機都需要先念一長串數字將是糟糕的體驗。另一種備受矚目的“指靜脈識別”目前也在業內廣泛測試，但由于其在數據加密安全系數低，始終沒有得到推廣。

　　目前，在部分銀行ATM機上試點的近紅外技術被業內視為是未來主流的活體檢測方式——“既能不通過指令就能準確判別驗證方是否為活體，又能解決光線不足影響識別的難題”，iPhone X已經加入了這種技術，但目前不少手機廠商卻對這種技術并不“感冒”，根本原因在于“慢”和“貴”。

　　據了解，近紅外活體檢測對硬件要求高，在手機正面需要配置兩個攝像頭。“按照目前的技術，單個攝像頭很難實現彩色光活體檢測。”但雙攝的實現，會影響手機屏幕的整體布局設計，這不僅需要時間，更需要昂貴的投入。

　　“不少手機廠商不愿等，”一家從事人臉識別技術開發的科技團隊透露，“目前有一大批手機廠商都在尋找人臉識別算法公司，希望能直接引入人臉識別技術，而他們的要求就是快。”

　　通常，他們會推薦手機廠商普遍使用的“人臉特征提取和識別算法”，比如vivo X20 和OPPO R11s采用的是商湯科技提供的人臉識別技術，通過提取人臉128個特征進行比對，達到設定匹配率即可解鎖，相對而言，技術落地快，解鎖速度快，但容易受攻擊。

　　“一旦加入紅外活體檢測，人臉識別速度會受到影響，至少需要0.4秒， 要達到現在市場上通用的0.1秒，除非在硬件配置中再另外植入網絡芯片。但這對于目前急于爭奪市場的手機廠商而言，都是不可接受的。” 張興旺說道。

　　此前vivo產品經理強調，在vivo X20中使用的是2PD——景深識別，通過區分人臉部和背景邊界來識別真人和照片，經過幾萬次測試，被攻破率比2D識別降低30倍。但在高樹棚看來，只有引入活體檢測，手機才真正有能力鑒別照片、視頻，還是面具，“即便能抵擋住圖片和視頻，但能抵擋住高精頭套偽裝嗎？”

　　活體檢測國產專利匱乏

　　據了解，目前除了人臉識別外，在手機指紋識別、虹膜識別的實際應用中，同樣缺乏有效的活體檢測方法，產品少，成本高是普遍原因，“有些識別檢測技術門檻不高，比如溫度傳感技術，但由于芯片專利技術掌握在國外廠家手中，海外采購成本至少翻幾十倍，因此國內很少有機構愿意去推廣。”在業內人士看來，國內在這個領域真正掌握自主研發專利的機構太少。

　　“商湯和曠視都是業界老大，但是在公開信息中，他們應用于手機的活體檢測技術并未有很大很新的突破，阿里的螞蟻金服以及騰訊AI實驗室，也都在這個領域積極研究，目前都沒有顯著的突破。”在一位業內人士看來，從算法上看國內活體檢測技術的突破點在于數據，無論是三維建模技術，還是深度學習技術都需要依靠大數據，若有一批質量高、場景多樣的活體與非活體數據，只要使用簡單深度學習方法訓練，就能起到效果。