中大揭人臉識別安全漏洞 銀行電子錢包App高危

中大研究團隊發現應用程式人臉識別系統有缺陷漏洞。(受訪者供圖)

大公文匯全媒體報道,香港中文大學今日(26日)公布,研究團隊最近分別於流動應用程式的人臉識別系統以及不同企業級Wi-Fi與VPN的設計中發現缺陷和漏洞,或會為用戶帶來安全風險。

中大工程學院信息工程學系教授劉永昌領導的研究團隊,深入分析檢測了市場上18個人臉識別服務供應商提供的流動應用模組,發現其中11個存在安全漏洞。駭客可利用這些設計漏洞繞過活體檢測,冒用他人身份開立賬戶或盜取資料。研究團隊撰寫應用程式,以自動化分析方法,掃描了1.8萬多個流動應用程式,發現當中近300個使用了含安全漏洞的人臉識別應用模組。透過利用相關漏洞,駭客在某些情況下只需使用「受害者」的照片與身份資料,便可成功以受害者身份完成人臉驗證。團隊又發現,銀行、電子錢包等金融應用程式,是人臉識別流動應用模組的主要用家,當中大多數採用含有安全漏洞的流動應用模組。

研究團隊為此提出了多項人臉識別系統的安全建議,包括盡可能在雲端驗證人臉識別信息,切勿完全相信由客戶端傳回的結果;應以多種方法加強流動應用的防護,如程式加固和動態反調試等;將所有流動應用、第三方模組、雲服務器之間傳輸的人臉識別相關數據進行適當的加密。

相關報道:

人臉識別須當事人同意 網信辦擬禁賓館銀行強制人臉驗證

AI以假亂真掀人類反擊戰