人脸采集模组主要指图像采集与活体检测功能模块,主要以摄像头形式存在。人脸采集模组的安全风险包含两方面,一个是模组是否带活体检测技术,另一个是模组本身的设计与实现安全风险,以下对其进行分类讨论。
1 未含活体检测功能的人脸采集模组风险
在一些非高安全的金融应用场景中,人脸采集方式仍使用普通单目摄像头,不具备活体检测功能,这些场景包括VIP精准识别与营销、有人值守的银行柜台业务和移动终端金融类APP身份识别等。
对于不带人脸检测功能的采集设备,整个设备无法识别采集到的图像是否来源于一个真实的活人,则理论上可以通过照片、面具、视频和头模等模拟手段欺骗人脸识别设备,即实施所谓的呈现攻击。
对于为提升服务质量和营销手段而采用的人脸识别功能,因其基本不涉及资金交易、敏感身份识别与使用等业务,则采集模组不需要考虑活体检测带来的安全风险问题。此外,对于有人值守的应用场景下,活体检测完全可由提供服务者直接完成,则此场景也不需要考虑活体检测的安全风险。
对于很多低端安卓手机以及其他类似形式的移动设备,它们仍大量配备普通单目摄像头,无法实现活体检测功能,而一些APP为保持应用的统一性,仍然开通了这些设备上的人脸识别功能。虽然这一功能可能不会直接应用于支付交易等敏感业务,但其实现的身份认证功能在用户通过验证后仍提供了使用很多业务的权限,这在一定程度上影响到了金融服务相关的整体安全稳定。例如,某恶意用户使用他人照片通过人脸识别功能登陆某APP