“V字”手势或“剪刀手”诞生以来风靡全球,已成为人们行走江湖、日常拍照最常解锁的姿势之一。然而,这一手势可能会泄露你最重要的秘密。
在国家网络安全宣传周上海地区活动上,有行业协会专家发出警告,称人们拍照时喜欢比“剪刀手”,但殊不知这样会泄露自己的身份。
“基本上1.5米内拍摄的剪刀手照片,就能100%还原出被摄者的指纹,在1.5米至3米的距离内拍摄的照片能还原出50%的指纹,只有超过3米拍摄的照片才难以提取其中的指纹。”上海信息安全行业协会副主任张威说道。
“剪刀手”隐患大,引发网友的热议。有网友戏称:“剪刀手,永别了。”还有网友恍然大悟:“难怪有人的剪刀手反着的手背向外。”甚至有网友开玩笑说:“以后拍照干脆握拳,为了保护脸部信息还要戴面罩。”不过也有网友认为有美颜滤镜,就不必担忧,“开了美颜能看清指纹算我输”。
“剪刀手”也会增加安全风险?
生物识别技术正在被用在越来越多的场景下作为身份验证的手段,这包括智能手机和智能门锁的指纹验证,以及移动支付时的人脸验证等。专家警告称,无论是指纹验证或者是人脸验证,都不应该作为唯一的身份验证手段,因为这种显性的人体外部指征很容易遭到复制。
显然单就理论而言,如果拍照时镜头距离太近,“剪刀手”的照片可能会通过照片放大技术和人工智能增强技术,将照片中人物的指纹信息还原出来。
张威表示,通过照片提取指纹信息后,再利用专业材料制作成指纹膜,可被不法分子用于各种通过指纹技术来识别身份的渠道,比如指纹解锁手机、指纹门锁、指纹支付等。
对此,有网络安全人士提出,人们也不必对此过于紧张,因为很多不经意的瞬间都会“出卖”人体的生物特征,比如手摸过的地方都会留下指纹,要窃取人们的指纹并不是一件难事,“剪刀手”并不会增加所谓的安全风险。
但增强生物识别技术的安全性,是业内仍需共同努力的。
一些看似低门槛的人工智能(AI)娱乐体验,却隐含巨大的隐私风险。近期走红的“换脸”应用软件ZAO就引发了人脸识别安全性的轩然大波。
国际电气与电子工程师协会(IEEE)高级会员、中科院自动化研究所副研究员、中国人工智能学会理事董晶博士对第一财经记者表示:“由于这些技术都利用了生物信息,而生物信息本身具有不可撤销性,因此它们一旦被泄露或被滥用,都会给用户带来严峻且永久的后果,甚至会对司法调查、保险鉴定等这些严肃、敏感的地带造成严重冲击。”
他还表示,要真正地在信息内容真伪识别中广泛且有效地应用AI技术,就要研究“魔高一尺,道高一丈”的AI反制技术,必须持续研发不断升级的“高阶玩家”,为信息安全堡垒筑起“铜墙铁壁”。
企业级网络安全公司奇安信行业安全研究中心主任裴智勇表示:“由于生物识别特征容易被复制,所以生物识别技术的安全性,在本质上和一串长口令没有什么区别。但正是由于容易泄露、容易复制,所以生物识别技术不适合用来做对安全性要求高的系统验证,对于安全性要求较高的复杂系统,需要使用零信任机制下的动态加密验证技术。”
今年的世界人工智能大会(WAIC)上发布了《人工智能时代数字内容治理机遇与挑战》。报告指出,如今数字内容深度伪造正威胁社会稳定。
裴智勇认为,对于安全负责任的公司而言,都不会把生物识别技术作为唯一验证手段,一定会辅以诸如人工监督、大数据风控、设备锁定等辅助验证功能,从而给用户提供既方便又安全的体验。
“窃听风云”罪魁祸首竟是WiFi
在网络安全周的互动体验区,安全防护企业通过全息体感技术对手机窃听、门禁破解、电信诈骗进行风险演示,让普通市民从黑客的视角,可以直观体验到万物互联时代网络的风险和犯罪分子的诈骗套路,以掌握更多的技巧、知识来进行安全风险规避。
比如一部手机处于锁屏状态,但是50米开外的电脑却能够控制手机的麦克风权限,周围的声音全被悄悄录下。这场“窃听风云”是如何发生的?罪魁祸首就是WiFi。
现在许多公共WiFi没有密码,用户可以随便连接。但这有可能就是黑客搭建的恶意WiFi。当用户连接到被黑客恶意篡改后的WiFi后,如果使用未经安全检测的APP软件,黑客不仅能在用户未感知的情况下读取手机中的各类私人信息和文件,还能远程控制操作手机摄像头、麦克风。
对此,专家建议,手机应安装一些专业的安全防护软件,尽量避免去连接一些免费的、安全信息不可控的WiFi,不要盲目点击陌生人发来的链接,不要下载一些来路不明的手机APP。
如今,各大厂商都推出了智能门锁,但随之而来的安全隐患也令人发指。专家提醒称,智能门禁存在安全缺陷,市面上一些加密机制较差的智能门锁也存在安全隐患。黑客通过利用小黑盒干扰开启电子门禁的技术,只需要5到10秒就能完成一张智能门卡的复制,然后拿着复制卡刷开大门。
其他常见的网络犯罪还包括电信诈骗,主要涉及诈骗电话改号、诈骗电话话术、假冒通缉令等。犯罪分子通过各类渠道获取用户信息后,就有可能在诈骗电话中提供诈骗目标详细的个人信息,获取目标初步信任,再以提前准备好的诈骗话术,逐步骗取目标受害者财产。较为典型的实例有黑客改号、苹果ID钓鱼、支付宝退款等。
工作人员说,遇到淘宝退款的情况,只需要在淘宝网上点击“申请退款”的按钮就可以,不需要使用银行ATM机或者其他第三方平台操作。正规的购物网站在进行退款时,都不会要消费者填写身份证、银行卡密码等隐私信息。如果消费者收到索要此类隐私信息的电话或短信,一定不要透露,可以选择报警。
高安全基础设施不断完善
“现代城市中的各个关键信息基础设施、业务机构、终端设备不断有数据产生并汇集到有城市大脑之称的数据中心,数据中心与应用平台之间不断有数据的流转、共享,而网络威胁也无处不在。”奇安信集团总裁吴云坤告诉第一财经记者。
吴云坤表示,在现代数字城市的信息化架构中,应该建立其高安全基础设施,包括全面覆盖信息化产业全链条的软硬件设施,中间层的高安全数据平台,全方位推动政务、交通、能源、金融、医疗等各行业领域的运行发展,支撑数字城市的信息化和现代化。
为此,奇安信已经开发出一套内生安全系统,能够把不同的数据聚合成一个完整的安全数据视图,通过检索、人工智能来发现隐藏的安全问题,从而不仅感知网络层面的威胁,还能感知数据滥用与泄露窃取。此外,把IT人才和安全人才进行融合,让安全真正有效地运转起来,实现安全能力的自生长。
作为保障智慧城市安全的基础设施,云存储的加密技术今年来也得到不断提升。在网络安全宣传周期间,IBM推出了“数据隐私护照”的综合解决方案IBM z15,不仅能保护基础设施层面的本地数据,还允许设置数据使用规则,从而对个人用户跨私有、公有和混合云的数据访问进行管理,进而提升企业的数据隐私保护能力。