无法逃脱的注视:人脸识别对个人隐私的渗透
随着信息技术的日新月异,人类社会已正式迈入“刷脸”时代。人脸识别技术以其独特的优势,成为身份鉴定、访问认证、核验查证的核心工具,广泛应用于支付认证、考勤打卡、疫情防控、门禁识别、公共安防等多元工作和生活场景,为人们的日常生活带来了前所未有的便利。然而,随着其广泛应用,人脸识别技术所潜藏的信息泄露风险也逐渐浮出水面,引发的失泄密事件亦屡见不鲜。
近期,备受公众关注的“人脸劫持”木马病毒便是一例,该病毒能够悄无声息地窃取用户的面部数据和个人财务信息,对个人财产和金融数据安全构成了严重威胁。同时,国家网信办就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》)公开征求意见。其中提出,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
为此,本期小铭团队将深入探讨如何提高防范此类安全威胁的意识和技能,以确保广大用户在享受技术便利的同时,也能有效保障自身的信息安全。
生物识别技术
人脸识别技术属于生物识别技术的一种。
生物识别技术是一种利用个体的生理特征或行为特征来进行个人身份鉴定的技术。这些特征通常是可以测量或自动识别和验证的,具有遗传性或终身不变的特点。生物识别技术相较于传统的身份认证方法具有显著的优势,因为它依赖于独一无二的生物特征,这使得身份验证更加安全可靠。
生物识别技术的应用非常广泛,包括但不限于安全系统、金融服务、边境控制、移动设备解锁、健康监测等领域。随着技术的发展,生物识别系统正变得越来越精确和普及。
但同时这可能也会涉及到一些风险:
01
隐私侵犯
生物识别技术需要采集和存储个人生物特征数据,如指纹、虹膜、面部等,可能导致个人隐私受到侵犯。
02
数据安全
生物识别技术所涉及的个人生物特征数据需要被安全地存储和处理。
03
身份盗窃
如果生物识别系统受到攻击或被篡改,攻击者可能会利用他人的生物特征信息进行身份盗窃或诈骗活动。
04
误识别
生物识别技术可能存在误识别的风险,即将不同的个体错误地匹配为同一个人,或将同一个人的不同生物特征识别为不同的个体。
05
合成攻击
攻击者可能利用合成技术制作虚假的生物特征信息,以欺骗生物识别系统。
面部隐私泄露的问题
1.人脸数据的过度采集与滥用已成为当前隐私保护的重大挑战。
由于人脸信息采集不受环境限制,仅需视频监控和配套网络设备即可完成,导致人脸数据在不知不觉中被广泛记录和使用。近年来,滥用人脸信息的案例频发,如构建个体“专属画像”进行精准营销、违规售卖人脸数据以及管理不严导致的数据泄露等。这些行为不仅侵犯了个人隐私权和肖像权,还可能导致人身与财产安全的损害,甚至威胁公共安全。因此,加强人脸数据的管理和保护已刻不容缓,需要采取更加严格和有效的措施来防范风险隐患。
2.随着AI换脸技术的普及,不法分子利用该技术冒用他人身份、强制“蹭脸”的现象日益严重。
通过利用“AI换脸技术”对特定人脸照片进行预处理,并结合“照片活化”软件生成动态视频,攻击者能够骗过人脸识别系统的信任机制。令人震惊的是,仅需一张静态半身照,攻击者便能模拟出眨眼、张嘴、皱眉等动作,从而模仿目标人物的表情变化,骗取人脸识别系统的信任。近年来,“骗脸”事件频发,如9岁儿童使用母亲照片成功解锁智能音箱、手机App用户证件照片被换脸成明星发布于网络,甚至有人伪造人脸照片盗取网络账号牟利等。这些事件均揭示了AI换脸技术被滥用的风险,对个人隐私和信息安全构成了严重威胁。
3.通过深度挖掘和多源取证,人脸数据可能被用于关联性分析,从而泄露个人隐私和敏感信息。
美国一家AI公司推出的人脸识别应用程序便是例证,它能够通过一张面部照片搜索到个体在网络上的详尽信息,如姓名、住址、职业经历、家庭成员及人际关系网等。该程序基于庞大的图片数据库,通过深度挖掘、快速匹配、关联分析及整合汇聚等技术手段,实现了对个人信息的全面挖掘和泄露。此类应用表明,仅需一张人脸照片,便可能揭示出特定目标的重要情报和与之相关的详细个人信息,凸显了人脸数据关联分析带来的严重安全隐患。
人脸识别信息泄露的方式
01
个人意识防护不足
在当前的“刷脸”时代,个人对于人脸信息的保护意识相对较弱,导致人脸信息容易被轻易获取。在大数据的背景下,人脸信息的传播速度快,流转主体多元,去向路径难以追踪,而且违法获取和使用人脸信息的门槛较低。因此,个人在保护人脸信息方面处于被动地位,自我防护的手段单一且能力不足。
02
终端设备的安全隐患
人脸数据采集、识别、感知、存储等终端分散在各种场景中,这些终端设备和人脸数据往往没有加密,使得不法分子可以利用设备漏洞进行远程控制,或者通过植入网络病毒进行技术攻击。一旦终端设备被控制,不法分子可以实时窃取人脸信息,甚至跟踪和串联人员的行踪,进而形成庞大的“人脸大数据”,后果严重。
03
网络传输过程中的风险
当加载人脸数据的终端之间进行数据传输和信息交互时,如果没有进行加密传输,那么人脸信息就可能被截获。尽管一些线上应用和线下终端使用了安全传输协议,但如果没有对人脸数据本身进行加密,那么攻击者仍然可以截获传输的数据包,进而还原出人脸信息。由于网络多终端登录的特点,传输过程中的人脸信息传播范围、截获数量以及登录节点都难以准确估量和追踪。
04
存储平台的安全挑战
存储人脸信息的平台也可能遭受攻击。一方面,外部人员可以利用“木马”病毒或系统漏洞对服务器进行远程攻击,非法进入数据库窃取人脸信息。另一方面,内部人员也可能利用运维工作便利或安全防护漏洞,违规登录存储设备,实施窃取和篡改等行为。
与传统泄密途径相比,人脸识别技术泄密有以下特点:
隐蔽性增强:与传统的泄密途径相比,人脸识别技术的泄密行为更具隐蔽性。由于人脸识别采用非接触式方式,攻击者通常隐藏在网络背后,利用虚拟的注册信息和异地采集存储地址进行操作。这种以合法身份进行的非法识别行为难以被发现和辨识。
永久性泄露:人脸信息属于个人隐私,并且具有唯一性。一旦泄露,这种信息就会终身暴露,难以弥补。与传统泄密途径相比,人脸识别技术泄密导致的后果更为严重和持久。
精准度提高:随着科技的进步,卫星、无人机、手机、摄像头等构成了全方位的监控网络。人工智能、大数据、云计算、导航定位等技术的运用也大大提高了人脸识别能力。这使得对高价值目标或特定对象的人脸识别更为快速且精准。
信息流向的单向性:在人脸识别过程中,人脸数据通过网络传输至后台进行处理。个人对采集、识别的全过程管理缺乏透明度,对后期使用、保存、流转的控制力有限。一旦发生信息泄露,溯源和追踪的难度较大。
滞后性的风险:人脸信息泄露的后果和影响并非立即显现,而是在一段时间后才会逐渐显现。这种滞后性使得发现或产生危害的时间远晚于发生数据泄露的时间。因此,安全措施和保护效果也面临同步滞后的风险。
真实案例
01
新恶意软件窃取你的面部信息进行欺诈
近日,名为“GoldPickaxe”的新型iOS和Android木马病毒使用社会工程学手段诱骗受害者扫描其面部和身份证件,以生成深度伪造内容用于非法访问银行账户。
在iOS设备上,该木马通过TestFlight URL或恶意移动设备管理(MDM)配置文件进行安装,建立WebSocket通道接收命令。而在Android上,它使用超过20个虚假应用程序作为掩护,执行更多恶意活动。
尽管GoldPickaxe可以窃取受害者的面部图像和视频,但它不会劫持Face ID数据或利用操作系统漏洞。生物识别数据仍被加密并与应用程序隔离。
02
香港:AI“多人换脸”诈骗案,涉案金额高达2亿
近期,香港发生了一起规模庞大的AI“深度伪造”诈骗案,引起了广泛关注。这起案件涉及的金额达2亿港元,不仅是香港历史上损失最惨重的“变脸”案例,而且也是首次涉及AI“多人变脸”的诈骗案。
据报道,此次事件的报案人是一家跨国公司在香港分行的员工。1月中旬,他收到来自该公司英国总部首席财务官的信息,称将进行一项机密交易,并邀请公司数名财务员工参与多人视频会议。由于会议中每个人的容貌与现实中的身份完全相符,员工们没有产生任何怀疑,相继进行了15次转账,总计金额达到2亿港元,分别转入了5个本地银行账户。然而,事后向总部查询时才惊觉自己上当受骗。
根据现有信息,诈骗者利用公司的YouTube视频和其他公开渠道获取的媒体资料,成功仿制了英国公司高层管理人员的形象和声音。通过运用Deepfake(深度伪造)技术,诈骗者制作了伪冒视频,营造出多人参与视频会议的场景,而实际上只有参与的员工是真实的。
由于使用的是预制视频,会议主要以上下级关系向员工下达指令。在整个视频会议过程中,员工们没有机会与其他参与者进行交流,仅被要求进行一次简短的自我介绍。随后,诈骗者以各种借口结束会议,并在即时通讯软件上继续下达指令。
如何预防人脸识别的潜在威胁?
1.评估人脸识别技术应用的必要性,个人身份核验准确性不会影响到个人重大利益或社会公共利益的情形可不优先考虑使用人脸识别技术;
2.不宜将人脸识别技术设置为唯一的身份核验的手段,不应强制要求或频繁推荐用户开通基于人脸识别的相关功能;
3.未经用户同意或法律法规授权,不得通过高清摄像头等私自采集人脸信息,不得使用人脸信息追踪个人行为;
4.向用户明示人脸信息收集使用的规则,并建立严格的内部管理措施,防止人脸信息被滥用、非法提供给第三方;
5.原则上应仅采取提取人脸特征信息进行比对的方式进行身份核验,完成身份核验等后及时删除人脸图片等原始样本;
6.采用AI技术合成的数字人脸图像需明确注明其为技术生成的虚拟图像,生成和使用过程应经个人授权,遵循有关管理规定;
7.加强人脸识别技术、相关信息系统和终端设备的安全性的检测与认证,推动人脸识别技术成熟度不断提升,防止人脸信息的伪造、冒用、泄露、丢失。