中大揭人臉識別安全漏洞 銀行電子錢包App屬高危

2023年10月26日 17:50
東網電視
更多新聞短片
黑客可利用相關漏洞繞過活體檢測。
隨着人臉識別技術的應用愈來愈普遍,不少銀行、電子錢包等流動應用程式,均有採用相關技術作身份驗證。有本地大學抽查市面18個人臉識別服務供應商提供的軟件開發套件(SDK),發現當中11個存在安全漏洞,或被黑客利用盜取資料,涉及超過373個應用程式,總下載量達1,610萬次。團隊建議盡可能在雲端驗證人臉識別資料,以及將相關數據加密。
香港中文大學工程學院信息工程學系的研究團隊,早前檢測了市場上18個人臉識別服務供應商提供的SDK,發現其中11個存在安全漏洞。其後,團隊撰寫應用程式,以自動化分析方法,掃描超過1.8萬個應用程式,發現當中有373程式,使用了含安全漏洞的人臉識別SDK。黑客可利用相關漏洞繞過活體檢測,只需使用照片與身分資料,便可成功以他人身分完成人臉驗證。
團隊又發現,銀行、電子錢包等金融應用程式,是人臉識別SDK的主要用家,當中大多數採用含有安全漏洞的SDK。團隊建議,儘可能在雲端驗證人臉識別信息,切勿完全相信由客戶端傳回的結果,同時應將所有流動應用、第三方模組、雲服務器之間傳輸的人臉識別相關數據,進行適當的加密。
此外,該學系的另一團隊,則分析了來自世界各地2,000多間高等院校、7,000多份Wi-Fi用戶手冊,發現約有86%的學校,有至少一項操作系統指示用戶採用不安全的Wi-Fi設定。有關設定來自廠商及資訊科技管理人員的疏忽,令黑客可透過低成本的假冒Wi-Fi網絡,盜取大量用戶的密碼。