【中大研究】手機App人臉識別系統 18個有11個存漏洞
在手機利用人臉識別技術登入 Apps,毋須再打密碼,看似方便又安全。不過香港中文大學有研究團隊發現,市場上 18 個人臉識別流動應用模組中,竟然有 11 個存有安全漏洞!而企業級的 Wi-Fi 及 VPN 服務,同樣存在缺陷和漏洞,或會為用戶帶來安全風險。
人臉識別系統漏洞繞過活體檢測
用戶的個人資料和自拍照片很容易被盜用及作非法販賣,繼而被不當使用。為防止駭客盜用他人圖像進行身分欺騙或建立傀儡賬戶,大部分人臉識別系統要求用戶在建立賬戶時完成眨眼、搖頭等動作,即所謂「活體檢測」。儘管過往有不少研究通過 3D 打印面具或 deepfake(深度偽造)等手段,利用機器學習模型弱點攻破人臉識別系統,但甚少人研究人臉識別系統設計與程式代碼之中的弱點。
中大工程學院信息工程學系劉永昌教授領導的研究團隊,深入分析檢測了市場上 18 個人臉識別服務供應商提供的流動應用模組,發現其中 11 個存在安全漏洞。黑客可利用這些設計漏洞繞過活體檢測,冒用他人身分開立賬戶或盜取資料。
研究團隊撰寫應用程式,以自動化分析方法,掃描了 18,000 多個流動應用程式,發現當中近 300 個使用了含安全漏洞的人臉識別應用模組。透過利用相關漏洞,黑客在某些情況下只需使用「受害者」的照片與身分資料,便可成功以受害者身分完成人臉驗證。
使用人臉識別系統的安全建議:
1.盡可能在雲端驗證人臉識別信息,切勿完全相信由客戶端傳回的結果。
2.應以多種方法加強流動應用的防護,如程式加固和動態反調試等。
3.將所有流動應用、第三方模組、雲服務器之間傳輸的人臉識別相關數據進行適當的加密。
132 個 VPN 前端應用 近半存嚴重漏洞
不少僱主為員工提供企業級 Wi-Fi 及 VPN 服務,以方便他們利用流動裝置如手提電腦及智能手機進行工作。為進一步了解企業級網絡接入技術中的安全問題,中大工程學院信息工程學系周思驍教授領導的研究團隊,就多個主流企業級 Wi-Fi 及 VPN 服務進行了深入分析及測試。
在企業級 Wi-Fi 方面,研究團隊在主流操作系統上發現了數個設計及開發上的缺陷,引致用戶無法採用安全的無線網絡設定,並可能因而受到攻擊。團隊分析了世界各地 2,000 多所高等院校的 7,000 多份 Wi-Fi 用戶手冊,發現大約有 86% 的學校有至少一項操作系統指示用戶採用不安全的 Wi-Fi 設定。這些設定來自廠商及資訊科技管理人員的疏忽,令黑客可透過低成本的假冒 Wi-Fi 網絡來盜取大量用戶的密碼。
在 VPN 產品方面,研究團隊測試了全球 132 個被採用的 VPN,並在其中 63 個 VPN 中找出之前未被發現的嚴重漏洞,讓黑客可以在用戶不知情的情況下盜取其密碼。另外,部分 VPN 產品的前端應用允許駭客在用戶的系統上以高權限任意執行惡意程式碼,導致整部裝置落入駭客的掌控。
而在約 2,000 份世界各地高等院校的 VPN 用戶手冊中,研究團隊亦發現有 300 多份存在設定問題,導致用戶可能會被駭客輕易盜取密碼,情況嚴重。就此研究團隊提出多項安全改善建議,並通知多間本地及海外院校及機構有關漏洞。
使用 Wi-Fi 及 VPN 的安全建議:
1.對廠商的建議:產品除了需具備良好功能和易於使用,亦要確保產品設計能令用戶安全地進行設置;廠商要對產品進行徹底的測試,以防止可能會引致安全風險的缺陷。
2.對資訊科技管理員的建議:在教導使用者時,除了接通網絡的操作方法,更重要的是教導他們如何進行安全的網絡設定。因此,在編寫使用手冊時需要考慮可能會發生的意外,並教導使用者如何正確地處理這些狀況。
3.對使用者的建議:盲目點擊「確定」、「連線」和「接受」等按鈕通常不是一種有效保護網絡安全和個人資料的做法。在點擊按鈕之前,應試著去了解潛在的影響,不要因為貪圖一時的方便而後悔莫及。遇到可疑的情況,請向所屬單位的資訊科技管理員報告及查詢。