点击注册
点击注册
.
.

戴口罩能“解锁”苹果手机刷脸支付安全受拷问

发布日期:2022-05-12 22:57    点击次数:180

戴口罩能“解锁”苹果手机刷脸支付安全受拷问

当下口罩已是人们出门的标配,“刷脸”成了一件难事。

不过近期有报道称,一位美国设计师将脸部下半部分印在口罩上后,成功通过Face ID的验证。而腾讯安全玄武实验室最新发布的研究成果显示,戴着市面上常见的几款口罩,就有极大概率能解锁iPhone。“北京海淀”公众号文章称,百度研发的AI测温系统,可远距离识别戴口罩的人脸。

在人们对“换脸”软件风险还心有余悸之时,“戴口罩解锁”让人脸识别应用的安全性再受拷问。这是否也同样可应用于刷脸支付?微信支付对记者回应称,戴口罩解锁目前不能应用于微信刷脸支付,对安全性不会构成威胁。

业内人士表示,不同场景的刷脸解码,验证算法和程序不同,刷脸支付被蒙骗几率较低,但对人脸这种弱隐私生物特征的信息保护还要加强。另外,受疫情影响,刷脸支付普及推广按下“减速键”,业界对刷脸支付发展前景持不同看法。

戴着口罩能“解锁”苹果手机?

他人破解率仅为百万分之一

近日,据一家名为“Face ID Masks”的网站介绍,他们推出一款带有面部信息的口罩,方便人们防病毒感染的同时也能解锁手机Face ID。用户需上传自己的人脸照片,随后下半张脸部信息会被转化打印到N95口罩上,用户戴上口罩后就能成功通过Face ID的验证。这款产品目前正在研发阶段,预计上市后的价格为40美元一只。

Face ID真的能这样被解锁吗?近日一篇文章抛出更重磅“炸弹”。3月7日,腾讯安全玄武实验室发布的关于苹果Face ID的最新研究成果显示,利用Face ID的镜像匹配性质,录入面容时保持口罩半遮面状态,之后用户在佩戴口罩或摘掉口罩时都能成功解锁。该实验室测试了六款不同规格主流口罩——包括普通医用口罩、N95口罩、防霾口罩等,有90%的概率能成功解锁。

有人赞叹黑科技,有人则直言担心。在腾讯安全玄武实验室的公号文章评论中,有用户表示,“我就想知道,会被别人的脸戴着口罩解锁吗?”

记者从苹果官网了解到,面容ID是智能手机中最安全的面部认证技术,一个随机的陌生人能够解开他人iPhone或iPad Pro上的面容ID的概率仅为一百万分之一。注册面容ID或使用面容ID解锁设备时,用户的眼睛、鼻子和嘴巴需要可见;面容ID也不适合在穿戴口罩时注册面部或解锁设备,穿戴口罩进行操控面容ID注册的用户所使用的iPhone或者iPad可能并未达到Apple关于面容ID用户体验和安全性的预期标准。记者另从知情人士处获悉,玄武实验室文章中反映的并不是面容ID的安全问题,视频中的用户是在有意操控面容ID的注册过程。

中国支付网创始人刘刚对记者表示,前述可印制成“半张假脸”的口罩一旦上市,将会在极短的时间内失效,因为一向注重安全的苹果不会允许别的商业公司干扰其安全模型。如有必要,苹果只需在线更新Face ID的算法即可反制。

不过,已有科技公司推出了戴口罩人脸识别功能。据“北京海淀”公众号3月7日发布的文章,为应对疫情,百度自主研发了AI测温系统,可在1分钟内实现对逾200人同时通过的体温实时检测,包含多人、戴口罩、远距离的人脸检测,可以实现在进行远距离人脸识别的同时,同步完成测温、身份识别及后台校验。

百度方面给记者提供的材料显示,百度基于戴口罩人脸识别、多人实时体温检测等AI技术,推出了企业AI入场解决方案,已在内部部署使用,并将向更多企业开放,支持企业疫情防控期间高效、安全、有序的复工入场。3月2日海淀区纪委检查领导到百度调研,对该方案的领先和高效表示肯定。

是否会威胁到刷脸支付?

专家:刷脸支付被蒙骗几率低

2019年,一款名为“ZAO”的换脸App一夕之间爆火时,就曾有用户提出“换脸”对刷脸支付构成安全隐患。

戴着口罩能解锁苹果,是否也能通过支付宝、微信支付的识别?微信支付表示,戴口罩解锁目前不能应用于微信刷脸支付,对安全性不会构成威胁。支付宝方面未予置评。

苏宁金融研究员黄大智对记者表示,仅根据几段对口罩解锁的描述,并不能判断这种刷脸解码和刷脸支付验证级别的高下,但可以肯定的是,刷脸支付运用的活体检测级别很高。“监管方面此前就明确提出,刷脸支付终端必须是专用设备,要具有如远红外、热感、活体面部光线变化探测等技术和能力。加上人工智能算法进行模式识别,可避免绝大比例的蒙骗行为。”中国社科院金融所支付清算研究中心特邀研究员赵鹞此前接受记者采访时说。他还表示,阿里、百度、腾讯等公司的人脸识别算法可能各不相同。

2017年,搭载着Face ID面部识别技术的iPhone X横空出世时,业界也曾比较过其刷脸解锁与其他系统的不同。与Android靠算法补足前置摄像头所获取的2D数据不同,iPhoneX的泛光感应元件像是一个红外线的“闪光灯”,能够保证其在黑暗中正常工作。点状投射仪则会返回3万个面部深度的信息,使得iPhone X从一开始就看到你“立体的脸”而不是像Android那样需要用算法去“虚拟”一张立体的脸。

易观分析师王蓬博表示,刷脸只是支付中的一个步骤,还需要交叉验证。中国支付清算协会今年1月下旬发布的《人脸识别线下支付行业自律公约(试行)》提出,用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段实现本人主动确权,这也是对“换脸”风险的防范措施之一。受访人士分析称,刷脸由于“被动”和“无感”,需要采取诸如密码等方式使客户主动操作进行意愿验证,这样才能更好地保护账户资金安全。

但这些保护措施或还不能完全打消一些用户的顾虑,对个人信息的保护力度还需加强。央行科技司司长李伟曾明确,人脸属于弱隐私生物特征,信息误用风险比较大。前述试行公约对此指出,会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”原则,明确告知用户信息使用目的等;在信息存储环节,应将原始人脸信息加密存储,并与银行账号等用户个人隐私进行安全隔离。

“我们慢慢变成了一个’透明人’后,建议早点由主管部门出台相关政策,甚至立法,来保护个人生物标识信息。”王蓬博表示。

刷脸支付推广被疫情按下“减速键”,未来前景是否可期?

在不少用户对刷脸支付的安全性未能充分信任之际,一场疫情,给正在推广的刷脸支付按下“减速键”。

“疫情对刷脸支付等线下支付的影响都很大,现在全民减少外出,线下消费非常少,必然冲击到刷脸支付和其推广。”黄大智说。上游财经专家顾问江瀚进一步分析称,线下支付四大主流方式中,现阶段刷脸支付主要应用的餐饮、酒店等服务行业,受疫情影响多属暂停营业状态,线下支付的体量整体大幅下滑,且受口罩干扰,使用体验较差。现金支付和刷卡支付受限于纸币的流通性和银行卡的接触性,使用率有所下降。扫码支付受疫情影响相对最小,甚至有促进的作用。

是否看好刷脸支付未来发展前景?多位受访人士给出不同答案。王蓬博认为,长期看,刷脸支付一定会持续增长,因为线下扫码互联互通的推进和物联网时代的到来,支付巨头不管是重新圈定自己用户流量池,还是对未来多入口的争夺,刷脸支付都是必备的。

江瀚谈到对刷脸支付正反两向的推动因素。正向因素包括:此次疫情期间,大部分企业和政府开始全面推动服务互联网化,突然加速的互联进程对身份识别要求进一步增加,在家中想要办理业务,刷脸反而成为最好的解决方案,和线下使用率形成“冰火两重天”,也是刷脸支付“失之东隅收之桑榆”的一种体现。

反向因素则包括成本问题。江瀚分析称,刷脸支付所依赖的设备成本较高,无论阿里还是腾讯都投入了海量的成本,动辄几千元的刷脸支付设备对任何一家公司来说都不是一个小事情,一旦大面积推广,铺设的压力会非常大,这是除了核心场景问题以外最大的难点所在。

刘刚也提到成本,并强调隐私保护问题。他表示,刷脸无法取代扫码,而且只能布局在大中型商场超市和连锁企业,更多的小微商户的收款场景更适宜扫码方式。“成本限制了推广,主要是太多煎饼摊、菜市场这样的场景没有刷脸设备条件,而扫码成本低到接近于0。”他进一步说道,刷脸支付因为涉及人脸隐私、每次只能一人结账等各种不便因素,一直处于叫好不叫座的状态。