自拍、变脸、支付 你在刷脸 有人在刷钱
“你绝对不知道你有多少个人信息在互联网上'飘’。”雷(化名)说出这句话的时候,特意指了指自己的脸。
我们的姓名、性别、年龄、手机号、邮箱……也许在网络上已经是完全透明的了,但是连这张脸都要被“共享”,确实有点令人不寒而栗。尤其是面对着不小心曾在“灰产”上过班的技术人员——雷,联想到无数次不经意间面对各种手机应用软件的场景,真想说,“还要不要脸啦”!
自拍、变脸、美颜、支付……今天,你刷了吗?
网聊有风险,“视频”需谨慎
搭载“黑科技”人脸识别的iPhone8发售在即,买了手机号码后要“刷脸”激活、支付宝联手肯德基试水“靠脸吃饭”,招商银行可以“刷脸”转账......“人脸识别”这个词,在商场和大街上到处都在出现,如今和别人聊天似乎不懂点“人脸识别”的知识都会显得很OUT似的……
就在舆论都在为“人脸识别”技术进入商业化而欢呼的同时,这项技术所潜藏的一些危机也如同一盆冷水迎面泼来。
一周前,腾讯手机管家对外发布消息称,警惕类似某些手机FaceTime视频通话的诈骗事件。其安全团队已经验证,的确存在用户脸部视频被录制(盗用)的风险。
据腾讯安全专家杨启波分析,目前一些支付APP采用了“人脸识别”生物识别技术,让用户直接“刷脸”支付,而不法分子利用FaceTime录制用户脸部视频后,有可能借此通过单一“人脸识别”验证,进而盗取用户的账户里的财产。
“骗子这是采用被动方式骗取个人'脸部信息’,其实大众在日常生活中还会主动贡献了许多'脸部信息’。”作为曾经从事脸部识别软件开发的工程师,雷也对懂懂笔记表示,正因为“脸”是人们经常暴露在外的“信息体”,所以更容易被漏洞或者不法分子所利用。
与脸有关,免费APP背后的“野望”
“你绝对不知道你有多少个人信息在互联网上'飘’。”雷表示,过去许多用户都知道各类免费App有收集提取用户信息的风险,但却不知道许多免费“变脸”的App其实也在保存着用户的动态视频信息,“所有女生多多少少都会用过一些'变脸’软件,所以被(运营者)保留的视频信息里,女生居多。”
雷在去年加入了深圳的一家软件开发公司,参与了一个“变脸”App的开发。“一开始,以为这个项目也是靠广告和交易分账盈利的,但结果不是。”他说,在去年“人脸识别”还没火起来的时候,这个项目就开始做起了贩卖用户信息的勾当了。
“这个App虽然不是那么主流,但是在应用市场上也有好几万下载量,用的人还是有不少的。”雷说,这虽然是一款“变脸”软件,但是在用户使用的过程中,系统会自动截屏上传至后台,与用户所提供的个人注册信息相匹配。许多用户在这个过程中,“脸”不知不觉就被“卖”了。
雷表示,一开始这些信息只是像传统用户资料般被非法贩卖,但是在有了所谓的“真人照”之后,这些信息就变得值钱了。“一条甚至可以卖而二十到三十块钱。”他表示,这些信息一开始只被用作部分网络平台或者游戏平台的“验真”使用。但随着一些App采用了人脸识别技术之后,这家初创公司发现了新的“财路”。
“人脸识别火了之后,有的电信运营商有自助'实人验真’系统,有的支付平台采用了'人脸支付’等等。这些都离不开脸部特征+动作这样的验证方式。”雷强调,在人脸识别越来越多开始应用后,这个“变脸”平台也采用了与其他人脸识别平台一样的登录验证方式,“登录验证也是摇头、点头、张开嘴等简单动作。但不同的是,(变脸)平台并不是验证用户信息,而是录下了用户验证的整个过程。”一个完整的用户“人脸验证”的视频,就这样被储存起来了。
“Facetime那个(视频骗局)是被动录下了用户的脸,而有些App可是(利用猎奇)让用户主动将(视频)信息送上门。”他说,这样一条视频信息,可以被叫卖到50至80元不等,大量信息被贩卖更让用户的隐私安全岌岌可危。
“如果说Facetime那种(随机录制的)视频都可以解锁部分'人脸识别’系统的话,那这种正儿八经做验证动作的视频危险程度更高。”雷补充道,在他离开这家公司之后才发现,做这种“买卖”的小公司并不只是少数。从技术层面上看,应用商店中有许多与“脸”有关的App都有保存用户视影资料的嫌疑。
在网络上,我们很可能都是透明的。
个人信息被买卖的事情每天都在发生。监管难、违法成本低、有利可图使得越来越多的机构热衷于买卖个人信息或者交易,过去因个人信息泄密而导致的诈骗事件频频发生。
而现在,用户影像资料也有平台在非法出售,大量的“人脸”特征信息被泄露,让本来具有单一生物特性的“人脸识别”技术变得不再安全。如果同时拥有了用户外泄的账户信息以及人脸特征副本,利用“人脸识别”技术将个人财产转移更是轻而易举的事情。
人脸识别商业化,关乎谁拥有了大家的“脸”
无论是iPhone8的“人脸识别”,还是支付宝联手肯德基的“刷脸吃饭”,都因为将“脸”与腰包里的钱挂钩了,所以引发了不少人的质疑,担心“人脸识别”技术引发安全问题。
实际上,在今年央视315晚会上,人脸识别就被曝出可能存在安全威胁。就此事,专注人脸识别技术的商汤科技和旷视都表示,任何一种安全手段都不是独立的,因此在实际应用中,不会将人脸作为唯一的凭证。就连近日最近媒体频频报道的肯德基杭州“靠脸吃饭”的KPro餐厅,也不是单独依靠人脸识别技术单一完成支付认证的。
“站在机器前,机器可以通过镜头分辨用户的身份,但是进行到最后一步的支付还是需要通过手机进行二次验证。”体验过肯德基KPro餐厅的一位读者刘女士告诉懂懂笔记,支付宝的“靠脸吃饭”虽然很新奇很吸引人,但在实际使用上问题还是很多的。
例如,浓妆艳抹、头发有留海的女生在识别过程可能会出现延迟或者一两次重试;而在支付之前,用户还需要输入手机号码后四位进行二次验证。她坦言:“真的不如扫码付款来得方便。”
而从去年就加入“刷脸”大军的招商银行,其4.0客户端的“刷脸”转账功能仍旧建立在短信验证通过的基础上,十足鸡肋。
如果这些支付过程都是为了刷脸而刷脸,岂不就是个噱头?
不难看出,现阶段所有涉及支付的系统都不是采取单一“人脸识别”技术,而是要结合短信、验证码、手机尾号等传统验证手段一并使用。懂懂笔记认为,采用多样结合的验证方法,表明许多企业在涉及“人脸识别”技术的商业化安全性上,也并没有十足把握。更多的只是把“人脸识别”当成一项新的噱头,尝试吸引着大众的关注。
如今,许许多多“人脸识别”的应用已经逐渐商业化,走进大众的生活。我们必须要对技术应用中所涉及的隐私和道德问题进行了一番新的思考。
蚂蚁金服陈继东曾指出:“从用户隐私上来说,人脸识别和指纹、虹膜相比,属于弱隐私。换句话说,你的脸,早就不是隐私了。”
但每个人的脸部特征是完全不同的,即便是双胞胎也有着或多或少的差异。从某种意义上说,脸部数据是一种我们所有人无法逃脱的“数据链路”,很显然,这已经算是人的隐私因素之一。
有关人脸识别商业化所涉及的隐私问题一直备受争议。
此前,Facebook因为未经用户允许而私自储存和使用用户的人脸识别数据而饱受诟病;而Google则因隐私政策和舆论压力而禁止Glass App使用人脸识别功能。
在中国,不管是“变脸美颜”App,“换装”App也好,甚至是纳入“人脸识别”支付平台或软件,都无时无刻的“拥有”着大家的脸,每一次使用就将有一份脸部信息“标本”本保存下来。
如果说政府部门录入民众人脸信息“标本”有助于抓捕罪犯、预防犯罪,人脸识别便是鉴权的一种手段,一切都要在法律的框架下进行。而企业拥有这么多的“脸”,储存和应用几乎没有完善的法律法规和监管体系对其进行约束,让数据隐私的暴露与否仅在一线之间。
虹膜、指纹、脸 科技的便利也是风险
“支付软件刷脸支付本身就留下了一个'标本’,在银行刷脸取现也留下了一个'标本’,各种与'脸’有关的APP更是会留下一串'标本’。”雷告诉懂懂笔记,随着科技的发展,人脸识别技术的商业化或许成必然,但是每个人的脸已经让许许多多商业机构有意无意间收录了,这是一个十分庞大的“生物特征”标本库。
假设一下,如果商业机构管理、运用不当,这些一经泄露就会为所有用户的信息、隐私甚至资金安全带来严重的威胁。
“虽然小公司利欲熏心,买卖人脸数据,但是大公司也未必就能保证数据的安全不外泄,毕竟数据的掌控还有诸多人为因素。”他对此表示质疑。
在个人隐私相关法律法规较为健全的美国,人脸识别在商业应用上都倍受民众诟病,隐私泄露隐患始终不能令公众放心。
目前为止,我国还没有类似的机制或者第三方机构对于用户数据提供监管保全服务。特征隐私数据泄露与否,全凭企业“良心”与“能力”。
人脸识别充当着人工智能的“眼睛”,作为人工智能与外界交互的一项重要技术,人脸识别技术的安全性显得十足重要。在人口红利下,人脸识别有着十分庞大的市场空间,但在商业化上数据信息安全依然是所有厂商绕不掉的“门槛”。
随着人脸识别在日常生活中应用越来越普及,很多厂商和舆论都把人脸识别万能化了。实际上,高科技应用的背后依然有可能存在风险、存在漏洞,数据的防伪和安全性依旧是所有厂商需要共同攻坚的难题。
因此,懂懂笔记认为,在涉及隐私、支付等高级别安全场景使用时,应将人脸与指纹、虹膜、声音等生物特征信号相融合,甚至与传统密码、短信验证相结合,而不是单一的采用人脸识别技术,这样安全的系数就会大大提升,避免一些不必要的潜在风险。
当然更重要的是,保护好自己这张脸,别没事到处“刷”。