5亿虚拟开票案例导致“人脸识别破解”黑产15分钟破解19部手机

人脸识别作为一种易于使用的生物特征验证技术，广泛应用于政务、安全、金融、生活消费等行业。但据记者调查，人脸识别技术存在明显的安全漏洞，对社会和财产安全存在较大隐患，急需系统的安全调查和封堵。

一起发票案牵出非法人脸识别案

记者从上海市检察院了解到，在上海市虹口区人民检察院最近起诉的一起虚开增值税普通发票案件中，被告人注册了一家“皮包公司”，利用破解人脸识别技术虚开增值税普通发票。据悉，多名被告为他人开具增值税普通票款税共计5亿多元。

案件中，犯罪嫌疑人首先通过相关政府平台注册了“包公司”，注册人在平台上的人脸识别是注册成功的关键环节。

为了达到这个目的，专门从事人脸识别破解的犯罪嫌疑人成员表示，他们一般会以每张30元的价格从其他地方购买别人的高清头像和身份证信息，然后使用“现场照片”App对高清头像进行处理，让照片“动”起来，形成点头、摇头、眨眼、张口等动作视频。

“获得视频后，我们使用经过特殊处理的手机‘劫持’摄像头。人脸认证时，手机摄像头不会启动，系统获取之前做的视频。系统会认为我在摄像头前，最后通过认证。”嫌犯说。

同时，该团伙还破解了一个广泛用于管理电子营业执照App的人脸识别系统。犯罪嫌疑人下载电子营业执照后，会在App中添加店员的身份信息。就这样，虚开发票那帮人用电子营业执照当店员。

根据犯罪嫌疑人的描述，它破解的应用范围很广，涉及政务、安全、金融、支付、生活消费等用户量巨大的应用。每单破解价格从25元到300元不等。

15分钟破解19部手机的人脸识别系统

" 15分钟破解19部手机的人脸识别系统."据记者了解，清华大学人工智能研究所成立的团队瑞来智慧近日公布了新的研究成果：研究人员可以根据一张照片和研究算法制作一副特殊的“眼镜”，然后刷脸解锁他人手机或App身份认证。

研究人员向记者透露，他们的团队在佩戴自制眼镜抵御样本攻击后，在15分钟内破解了19部智能手机的人脸识别解锁系统。还破解了十多个金融和政府服务应用。

据研究人员介绍，结合身份证号等个人信息，你甚至可以冒充车主开立网上银行账户。

“过脸识别技术”群里，黑客成“贵客”

记者发现，互联网上有大量提供人脸识别技术服务的团体，团体名称大多使用“人脸传递”、“识别技术”等关键词，以逃避监管。组大小从100到300不等。

在一个叫“人脸识别技术”的群中，有人付费邀请群中能破解支付软件人脸识别审核的人。黑客成了人们追捧的“贵客”。

2017年，上海举办了“国际安全与客赛”，来自多个国家的“极客”上演了一场黑技术破解秀。

此外，一些团体分享和交流关于破解技术的信息和资源。一个名为“VX三色脸”的团体自称是“破解人脸识别技术的肩膀”，“适合想入行的新手和白人”，团体人数多达300人。

一个叫“蓝叶”的用户给记者发了一个App人脸识别安全的破解视频，说可以卖个专用手机。导入自制人脸动作视频后，手机上安装的所有应用软件都可以自动跳过人脸认证。每个手机的价格

他还告诉记者，假脸动作视频可以通过使用“你我”、“现场照片”、“轻松变脸”等应用程序来完成。

“我们了解到，一些公司上班时必须使用人脸识别打卡。有的员工委托黑客入侵打卡App，利用人脸识别漏洞完成打卡。他们每个月只需要付给黑客30元。”一家网络安全公司的负责人告诉记者。

在上述虚开发票案件中，犯罪嫌疑人不仅利用破解技术搞虚开发票，还利用已注册的新账户搞骗取各种App补贴等违法犯罪。

瑞来智慧高级产品经理张旭东告诉记者，目前破解人脸识别技术主要针对活体检测的假体攻击，但反样本攻击对ai算法本身的威胁逐渐凸显。

“因为行业内的人脸识别技术主要是用几种方法固定的，相似度很高。如果黑客提供了一款专门破解人脸识别的开源软件，并在互联网上广泛传播，那么罪犯利用各种app中的漏洞实施犯罪，就像是‘进入无人地带’。”张旭东说。

在新华社第三组安全专家曹亮看来，最终目的是欺骗“机器”，无论是针对样本攻击还是针对实时检测的修复攻击眼”。

“当前人脸识别算法大都是人脸上‘三点’‘五点’‘七点’的识别，通过对眼睛、鼻子、嘴、耳朵以及头部活动来实现认证。黑客完全可以通过了解机器内部验证机制和评判规则，再想办法绕过安全防护。”他说。

抓紧查缺补漏，还每一张脸“安全”

专家认为，应尽快排摸国内政务、安防、金融、支付、生活消费等领域的核心App应用存在的相关漏洞，并及时打上补丁，以防发生危害社会安全和财产安全的重大事件。

开展软硬件“对攻升级”。张旭东表示，当务之急应对涉及政务、安防、金融、消费等行业的人脸识别技术漏洞进行完善和升级。

“尤其是对于涉众、涉密、涉及公共利益的相关平台和技术服务提供商，需优先完成技术加固，对手机模拟器要做好防范和拒绝。同时，鼓励和引导更多手机厂商在手机升级时支持3D人脸识别技术。”张旭东说。

“手机厂商在写入手机系统时可内置安全模块，防止黑客绕过手机摄像头启动环节、对摄像头实现劫持，从源头上实现安全守护。”曹亮说。

制定落实人脸识别安全标准。曹亮表示，对核心领域使用人脸识别技术的产品，监管部门可制定并严格实施相关标准，保证产品符合安全技术要求。

“可依据人脸识别在公共或商业应用中对安全的差异化需求，制定分级别、多层次的国家安全标准及行业安全标准。”他说。

加强司法打击，保护每一张“脸”。“违法者可能涉嫌破坏计算机信息系统罪，执法和司法机关应当加强打击力度，形成威慑力。”北京格丰律师事务所合伙人郭玉涛律师说。他建议，当前各大政务、金融、电商等平台都搜集了大量的人脸数据，既存在重复建设的问题，更存在安全隐患和风险。国家和省级层面可建立统一的商用安防大数据中心，以此达到防止人脸信息的滥用、外泄等问题。

“可要求人脸识别算法供应商的模型须在大数据中心内进行训练，实现数据、模型物理上不出专网。算法供应商可租用大数据中心的数据和计算力进行算法模型的升级和更新。”他说。