最近人脸识别火了起来,包括QQ安全中心和支付宝在内的很多app都开始使用了人脸识别安全认证。在QQ安全中心中使用人脸甚至可以直接改密码改密保手机,但前提是你要先获取到目标的qq密码进入安全中心才可以通过刷脸更改密码。
被广泛使用的人脸识别真的安全吗?
0x01 人脸识别用于硬件安全验证
人脸识别目前最大的用处就是用于安全验证,包括考勤打卡 门禁等功能。为了更方便的研究,购置了8台不同厂家不同版本的人脸识别机器,其中包括打卡机和门禁设备。
这种是汉王的打卡机,常见打卡机都是这种。
这款是中控iface7 常见的人脸识别门禁(照相麻烦,在淘宝订单页面拿的图)
研究思路是主要研究这两款,然后用破解方法尝试其他款式。
耗时大概一个月,因为要等快递到还要出差,所以研究开始是一个月之前。
首先在网上搜索了解了一下人脸识别大概的原理。
摄像头人脸录入--录入图片处理得到特征值--特征值对比
这样看来想破解人脸识别最容易的就是从第一步下手,因为无论是人脸还是照片,录入进去就都变成图片了。
就得到了这样的破解思路:
朋友圈或社工获得目标照片--找到合适的角度 对自拍颜色曝光度等进行处理--验证
先测试下打卡机,用自己的照片录入打卡机后尝试验证,用自己的手机放入自拍验证可以直接进入。
感觉一切很顺利,继续破解门禁机器,但总是失败,找不到原因。
最后仔细观察了录入过程发现,侧脸也会被录入,而自拍侧脸不完全所以用一张完整脸的自拍就可以成功进入了。
可以看出这些打卡机在安全方面还不够重视,测试结果是打卡机百分之80都是可以用这种方式破解的,非常简单。
但门禁就高端一些了,有一台我尝试了很多次都不能破解,所以我在淘宝买来了这样一个好像充气娃娃的头....
先把自拍贴付在正面一张,然后把自拍的脸部左脸和右脸剪切下来分别打印贴付在左右脸侧,然后举着模型验证成功。具体的真人验证技术怎么实现我查不到,但用这种方法很容易让系统认为是真脸。
所以门禁的破解率也高达百分之九十。
想想看,在朋友圈发一个自拍可能就导致自己家门或公司大门对黑客敞开。
0x02 人脸识别用于软件安全验证
软件就必须要提到两个使用量最大的了:支付宝和QQ安全中心
破解方法同上,QQ安全中心使用手机放照片的方法就可以破解,问题一个月前提交过TSRC【腾讯安全应急中心】但得到答复是已经有人先一步提交了。
QQ安全中心人脸识别破解—在线播放—优酷网,视频高清在线观看 http://v.youku.com/v_show/id_XMTc0MDY4NjcyOA==.html
但让我疑惑的是,这么多人提及过为什么问题到今天都没有修复,依然可以破解?QQ安全中心的进入安全中心验证是只需要自拍,但修改密码和密保需要眨眼或转脸。
转脸用脸模可以破解,到成功率只有百分之五十,毕竟有的人脸后侧和前侧不一样,比如后面窄前面肥。
眨眼我的思路是找到目标闭眼的照片和睁眼的,然后用mac自带imovie做成视频,尝试下我自己和身边人都可以破解,几率可以达到70,但是条件就相对苛刻了很多。
支付宝就很尴尬了,视频和脸模都不行,试过几次之后连我本人都不行了。
因为获取不到支付宝这块的具体算法,所以希望大牛们有破解成功的不吝赐教。
0x03 提供sdk api等服务第三方人脸识别服务商
目前app以及线下互联网领域存在很多提供人脸识别技术的服务商,比如一登、facevisa等。
但他们的安全也是脆弱不堪的,据说facevisa有人脸活体检测技术??
只依靠手机摄像头你告诉我怎么活体检测??
(视频没有录制完整因为脸模不在身边,无法制作转头视频)
facevisa破解—在线播放—优酷网,视频高清在线观看 http://v.youku.com/v_show/id_XMTc0MDY5NjE2NA==.html
所谓的活体检测无非是摇头眨眼抬头低头加在一起
这里发现一个技巧,如果闭眼照片没有,可以PS时切下睁眼时候的眼皮你贴在眼睛上,把眨眼和用脸模摇头的视频放在一起可以成功破解的。
并且一登的服务对象很多很广,包括很多线下支付领域,想想看以后拿一个照片就可以在自动售货机随意买东西就有点小激动!
感谢ziwen的投稿,也欢迎大家投稿,各个领域好玩的都可以~
发表评论