中共天津市委网络安全和信息化委员会办公室

天津市互联网信息办公室

还在纠结“剪刀手”?这些个人信息泄露也应注意

新华社 | 2019年09月25日 09:49

  “拍照比‘剪刀手’,有可能会让不法分子获取你的指纹信息。”近日有媒体报道,在某些特定条件下,被拍照人的指纹等生物特征信息可能被窃取。
 
  相关报道引发社会关注,有网友对自己的生物特征信息安全感到担忧,也有网友比较淡定。专家表示,目前无需对此感到焦虑,但也应注意生物特征信息的保护。
 
  除了指纹,这些个人信息也可能通过照片泄露
 
  一张照片究竟可以泄露多少个人信息?通过一定的技术手段,指纹、虹膜、位置等信息都可能被人为获取。
 
  在15日举行的国家网络安全宣传周上海地区活动上,上海信息安全行业协会专委会副主任张威表示,拍摄者和被拍摄者距离在1.5米范围内,当被拍摄者比出“剪刀手”时,其指纹信息可通过照片100%提取还原。
 
  “不需要专业照相机,只要用当前流行的智能手机拍摄的照片质量,就能用以提取和还原指纹信息。”张威说,当下一些智能手机不仅具备更高级的光学变焦能力,还兼具AI画质增强技术,如果将拍摄焦点对准“剪刀手”,还能刻画出指纹细节。
 
  北京理工大学光电学院副教授何玉青认为,除指纹信息外,被拍摄者的虹膜信息也可能成为不法分子在照片中的提取对象。她还举了一个摄影界的经典案例:1985年,美国摄影家史蒂夫·麦凯瑞拍摄的一张“阿富汗少女”照登上《国家地理》杂志封面,十多年后,为了找寻当年的那个神秘少女,通过提取比对当时照片中阿富汗少女的虹膜信息,麦凯瑞竟成功找到了当事人。
 
  “那是30多年前的相机拍摄的照片,已经能够清楚分离出虹膜信息了,以现在摄影器材的能力,想要获取某个人的虹膜信息并非难事。”何玉青说。
 
  除上述生物特征信息外,手机拍摄的照片还可能泄露拍摄者的地理位置信息。记者用手机随机拍摄了一张照片,通过微信将照片原图传给网络安全工程师。不一会儿,对方就给记者发来精确经纬度信息。经查询,该经纬度坐标即为记者照片拍摄地的地理坐标。
 
  相比“剪刀手”,丢手机的安全风险其实更大
 
  有安全专家指出,通过照片提取还原指纹等生物特征信息是完全可能的,但存在一定技术门槛,并非很容易做到的事情,相比之下,用户遗失手机所导致的安全风险会更大。
 
  “目前用户在手机上进行的指纹验证操作都是在手机设备内处理的。”腾讯安全玄武实验室负责人于旸告诉记者,即使攻击者获得了用户指纹,还必须拿到用户的手机才能实现账户盗刷。同时,如果手机被不法分子获取,那么即使没有从照片中取得的指纹信息,技术上也可以通过其他方式来解锁手机。
 
  于旸表示,目前手机的指纹验证体系和移动支付体系的安全设计,基本可以确保不法分子在不获取用户手机的情况下,很难通过单一伪造指纹的方式盗刷移动支付账户。
 
  “相较于拍照比‘剪刀手’,用户遗失手机的安全风险会更大。”在于旸团队的研究成果中,早已实现利用手机表面残留指纹痕迹来提取指纹信息以解锁手机的技术能力。但他同时表示,不论通过何种方式获取用户的生物特征信息,都需要一定的技术门槛和经济成本,因此普通人无需对此感到焦虑。
 
  此外,专家认为,利用一些手机软件对图片进行在线处理的安全隐患同样值得关注。张威说,一些用户在使用修图软件时,可能并没有意识到自己已将个人照片原图上传到了相应服务器中,如果这些被服务器存储的照片发生泄露,上述个人信息也存在被滥用的风险。
 
  生物特征信息保护也应重视
 
  专家表示,虽然目前无需对“剪刀手”会泄露指纹信息感到恐慌,但生物特征信息保护也应引起大家的重视。
 
  记者发现,当前国内对于生物特征信息保护尚未建立完整统一的标准,部分安全规范以推荐性标准的形式存在,对企业和行业不具备强制约束力。
 
  中国信息安全研究院副院长左晓栋认为,层出不穷的新兴技术正不断改变当代人的生活方式,在提供娱乐和生活便利的同时,有关方面要留意新技术背后可能存在的法律与安全风险。他建议,有关部门可加强对此类问题的调研,明确相应的行业监管方,建立新兴网络安全威胁的跟踪和应对机制。
 
  于旸建议,鉴于当前使用生物特征信息的应用场景越来越多,监管部门可制定相应的安全标准,规范行业和企业的相关行为,在安全与便利之间寻求平衡点。
 
  “对于特定行业的工作人员,应尽量避免在社交平台上传自己的正面清晰照。”何玉青建议相关用户,在拍照时可借助墨镜等工具对关键生物特征信息进行遮挡,避免因照片泄露相关信息。
 
  同时专家还提示,除照片外,用户在进行视频、音频内容的格式转换和剪辑处理时,要尽量避免使用互联网上提供的免费在线工具,以防人脸、声纹等重要生物特征信息泄露。