生物識別被視為高度安全的認證方式,比密碼安全上百倍。不過,中文大學最近一項研究卻發現,大部分流動應用程式( App )的人臉識別系統存在缺陷和漏洞,或會為用戶帶來安全風險。
中大工程學院信息工程學系劉永昌教授領導的研究團隊,深入分析市場上 18 個人臉識別服務供應商提供的流動應用模組,發現其中 11 個存在安全漏洞。黑客利用設計漏洞繞過活體檢測,冒用他人身分開立帳戶或盜取資料。
研究團隊撰寫應用程式以自動化分析方法,掃描 18,000 多個流動應用程式,發現當中近 300 個使用含有安全漏洞的人臉識別應用模組。透過相關漏洞,黑客在某些情況下只需使用「受害者」的照片與身分資料,便可成功以受害者身分完成人臉驗證。
研究團隊為此提出多項人臉識別系統的安全建議,並將所發現的安全漏洞通知受影響的人臉識別應用模組供應商,以及提出以下使用人臉識別系統的安全建議:
- 儘可能在雲端驗證人臉識別訊息,切勿完全相信由客戶端傳回的結果。
- 應以多種方法加強流動應用的防護,如程式加固和動態反調試等。
- 將所有流動應用、第三方模組、雲伺服器之間傳輸的人臉識別相關數據進行適當的加密。
半數 VPN 有嚴重漏洞
中大另一研究團隊對多個主流企業級 Wi-Fi 及 VPN 服務進行分析及測試,同樣發現多個設計及開發缺陷,引致用戶無法採用安全的無線網絡設定,並可能因而受到攻擊。
該研究由中大工程學院信息工程學系周思驍教授帶領,測試全球 132 個被採用的 VPN ,並在其中 63 個 VPN 中找出之前未被發現的嚴重漏洞,黑客可以在用戶不知情的情況下盜取其密碼。另外,部分 VPN 產品的前端應用允許黑客在用戶的系統上以高權限任意執行惡意程式碼,導致整部裝置落入黑客的掌控。而在約 2,000 份世界各地高等院校的 VPN 用戶手冊中,研究團隊亦發現有 300 多份存在設定問題,導致用戶可能會被黑客輕易盜取密碼,情況嚴重。
在企業 Wi-Fi 方面,研究團隊分析 2,000 多間高等院校的 7,000 多份 Wi-Fi 用戶手冊,發現大約有 86% 的學校有至少一項操作系統指示用戶採用不安全的 Wi-Fi 設定。這些設定來自廠商及資訊科技管理人員的疏忽,令黑客可透過低成本的假冒 Wi-Fi 網絡來盜取大量用戶的密碼。
研究團隊就此情況提出多項安全改善建議,並通知多間本地及海外院校及機構有關漏洞。相關安全建議:
- 對廠商的建議:產品除了需具備良好功能和易於使用,亦要確保產品設計能令用戶安全地進行設置;廠商要對產品進行徹底的測試,以防止可能會引致安全風險的缺陷。
- 對資訊科技管理員的建議:在教導用戶者時,除了接通網絡的操作方法,更重要是教導用戶如何進行安全的網絡設定。因此,在編寫使用手冊時需要考慮可能會發生的意外,並教導用戶如何正確地處理這些狀況。
- 對用戶的建議:盲目點擊「確定」、「連線」和「接受」等按鈕通常不是一種有效保護網絡安全和個人資料的做法。在點擊按鈕之前,應試著了解潛在的影響,不要貪圖一時的方便而後悔莫及。遇到可疑的情況,請向所屬單位的資訊科技管理員報告及查詢。
最新影片
