中大揭人臉識別安全漏洞　銀行電子錢包App屬高危

隨着人臉識別技術的應用愈來愈普遍，不少銀行、電子錢包等流動應用程式，均有採用相關技術作身份驗證。有本地大學抽查市面18個人臉識別服務供應商提供的軟件開發套件（SDK），發現當中11個存在安全漏洞，或被黑客利用盜取資料，涉及超過373個應用程式，總下載量達1,610萬次。團隊建議盡可能在雲端驗證人臉識別資料，以及將相關數據加密。

香港中文大學工程學院信息工程學系的研究團隊，早前檢測了市場上18個人臉識別服務供應商提供的SDK，發現其中11個存在安全漏洞。其後，團隊撰寫應用程式，以自動化分析方法，掃描超過1.8萬個應用程式，發現當中有373程式，使用了含安全漏洞的人臉識別SDK。黑客可利用相關漏洞繞過活體檢測，只需使用照片與身分資料，便可成功以他人身分完成人臉驗證。

團隊又發現，銀行、電子錢包等金融應用程式，是人臉識別SDK的主要用家，當中大多數採用含有安全漏洞的SDK。團隊建議，儘可能在雲端驗證人臉識別信息，切勿完全相信由客戶端傳回的結果，同時應將所有流動應用、第三方模組、雲服務器之間傳輸的人臉識別相關數據，進行適當的加密。

此外，該學系的另一團隊，則分析了來自世界各地2,000多間高等院校、7,000多份Wi-Fi用戶手冊，發現約有86%的學校，有至少一項操作系統指示用戶採用不安全的Wi-Fi設定。有關設定來自廠商及資訊科技管理人員的疏忽，令黑客可透過低成本的假冒Wi-Fi網絡，盜取大量用戶的密碼。