危險的“剪刀手”，讓渡安全還是讓渡隱私？

韓敬嫻

理論上可行，實際操作很難

9月底，上海信息安全行業協會副主任張威在2019年國家網絡安全宣傳周全民體驗日活動上向公眾提示了剪刀手照片泄露指紋信息的風險—他表示，1.5米內拍攝的剪刀手照片，基本上能100%還原出被攝者的指紋；在1.5米～3米的距離內拍攝的照片，能還原出50%的指紋。

對此，圖正科技董事長、創始人劉君認為，剪刀手照片泄露指紋信息在理論上可行，但操作起來很難。實際操作很難的一個原因就是：技術門檻。他指出，目前的指紋識別存在一個等比例變化的問題，這就意味著從現場取到的指紋必須按照1：1比例復制出來，這本身需要專業的提取技術、提取設備以及復制設備等，而如果剪刀手照片經過處理之后還要考慮形變的問題。

一位生物識別領域專家直言，這么高門檻的犯罪活動一般針對的是價值比較高的目標，普通人被盜的概率會小一些。但技術門檻高并不意味著絕對安全。

“大家在設計這些指紋識別產品系統的時候，只是把它設計在一個安全維度上就可以了，讓不法分子攻擊時候的攻擊時間成本和攻擊難度到一定的程度就可以了，安全是一個沒有邊界的問題。”中國科學院院士鄭建華曾對媒體表示，目前指紋識別安全鏈條還不夠完整。

去年，網上一篇《一塊橘子皮就能秒開你的手機指紋鎖，還能轉賬付款》的文章及視頻就曾引起了網友關注。一位用戶由于手機摔到地上，導致指紋觸摸鍵出現了裂紋，之后其他人居然都可以用指紋解鎖他的手機，手機支付什么也都可以了。

后來經過蘇州一家科技公司技術人員的試驗發現，破解指紋驗證的關鍵在于指紋觸摸鍵上的圖案。事實上，指紋傳感器接收到的信息包含指紋貼上的導電涂層，并不完全是機主手指的指紋。在進行指紋比對時，只要部分信息相同就能通過驗證。

只要指紋觸摸鍵上的圖案是擋在手指前面，軟件系統就會收到已經有了這些圖案成分的圖，“它收了這個圖，認證也是個圖”，而裂痕本身會在傳感器上形成一些圖案，這名用戶將指紋覆蓋在裂痕上成功解鎖開機幾次后，別人便都可以隨意開機了。

一位指紋識別公司的技術人員告訴筆者，利用指紋識別系統上的軟件漏洞進行攻擊是當前指紋識別比較有效的一種方式。

劉君指出，目前行業內提高生物識別安全的路線有兩種，一種是增加獲取生物信息的難度，比如研發骨骼識別、靜脈識別等產品，這些生物特征信息都不在表面，通過正常的拍個照片，杯子殘留等是無法獲取的；另外一種則是增加偽造難度，比如加入活體指紋檢測技術或者增加3D人臉識別的復制難度等。

除了產品設計本身的安全度提高之外，人們平時該如何避免隱私泄露呢？

除了不向陌生人提供自己的指紋、不在不可信的設備上錄入自己的指紋，不在網上亂發帶有自己指紋信息的照片之外，劉君還提出一個建議，在用完指紋鎖或者手機之后，用手在傳感器表面上擦一下，通過這個動作，指紋圖像就會完全模糊化了，也就沒有了任何提取價值。

不只剪刀手

這并不是生物識別技術首次受到安全質疑。

隨著計算機、光學、聲學、生物傳感器和生物統計學原理等技術的發展，利用人體固有的生理特性，如指紋、人臉和虹膜等，以及行為特征，如筆跡、聲音和步態等來進行個人身份鑒定的現象越來越常見。

其中應用最為廣泛的是指紋識別、人臉識別。指紋識別并不新鮮，多年前指紋識別就應用在考勤、門禁和保險箱柜等領域，隨著iPhone 5s的推出，指紋識別才迎來了一個跳躍性發展的時期。

最初的手機安全鎖解決方案是設置開機密碼，一般是4位數或者是6位數的密碼，之后流行的是圖案解鎖，相比開機密碼，圖案解鎖破解的概率更高。iPhone 5s之后，指紋解鎖逐漸成為各類手機的標配。之后指紋識別場景進一步挖掘，已經廣泛應用于各類識別身份的渠道，例如指紋支付和指紋門鎖等領域。

不過，就在2019年5月，中國消費者協會等對29款主流智能門鎖商品開展比較試驗時發現，48.3%的樣品密碼開啟存在安全風險，50%的樣品指紋識別開啟存在安全風險，85.7%的樣品信息識別卡開啟存在安全風險。

從2017年開始，生物識別的風向標轉向了人臉識別：手機刷臉解鎖、刷臉支付；火車站、機場“刷臉”檢票；銀行開戶時需要人臉識別確認，現在還愈發向娛樂化發展，比如此前刷屏的“換臉”APP—ZAO。

ZAO在APP協議中要求獲得用戶人臉照片“完全免費、不可撤銷、永久、可轉授權和可再許可的權利”，這意味著用戶上傳到ZAO里面的照片，ZAO除了可免費使用并修改你的肖像，還可以將它任意授權給自己想授權的第三方，當作信息進行販賣，而且是永久的、不可撤銷的。

倘若這一數據被居心叵測的人利用，極有可能成為新的犯罪工具，特別是對于騙術識別能力差的老人，很容易就被犯罪分子偽裝的“子女”和“親人”騙走錢財。

目前，許多高校宣傳的"刷臉時代"：門禁刷卡、食堂“刷臉”和人臉識別考勤等也受到了質疑。技術帶來效率，帶來更多的娛樂方式無可厚非，但前提是需要界定什么數據是隱私？什么數據可開放？

無論是指紋還是人臉等生物識別數據一旦被泄露，后果不可想象。畢竟，每一個生物識別特征的背后都是一個人現實身份的確認。