人脸识别︱中大研究揭App存漏洞 绕过验证比想像中简单

随着人脸识别技术及企业级Wi-Fi与VPN之应用越发普及，当中的安全隐患令人关注。香港中文大学工程学院信息工程学系两队研究团队最近分别于流动应用程式（App）的人脸识别系统，以及不同企业级Wi-Fi与VPN的设计中发现缺陷和漏洞，或会为用户带来安全风险。

刘永昌（左）及周思骁（右）。中大图片

抽检18个App  11个有漏洞

中大工程学院信息工程学系教授刘永昌领导的研究团队，深入分析检测了市场上18个人脸识别服务供应商提供的流动应用模组，发现其中11个存在安全漏洞。黑客可利用这些设计漏洞绕过「活体检测」（即建立账号时摇头眨眼等动作），冒用他人身份开立账户或盗取资料。

研究团队撰写应用程式，以自动化分析方法，扫描了逾18,000多个流动应用程式，发现当中近300个使用了含安全漏洞的人脸识别应用模组。透过利用相关漏洞，黑客在某些情况下只需使用「受害者」的照片与身份资料，便可成功以受害者身分完成人脸验证。

图为一个廉价但便携的伪冒Wi-Fi（Evil Twin）攻击装备。中大图片

黑客可用低成本假冒Wi-Fi盗资料

中大工程学院信息工程学系教授周思骁领导的研究团队，亦就多个主流企业级Wi-Fi及VPN服务进行了深入分析及测试。在企业级Wi-Fi方面，团队分析了世界各地2,000多所高等院校的7,000多份Wi-Fi用户手册，发现大约有86%的学校有至少一项操作系统指示用户采用不安全的Wi-Fi设定。这些设定来自厂商及资讯科技管理人员的疏忽，令黑客可透过低成本的假冒Wi-Fi网络来盗取大量用户的密码。在VPN产品方面，研究团队测试了全球132个被采用的VPN，并在其中63个VPN中找出之前未被发现的严重漏洞，让黑客可以在用户不知情的情况下盗取其密码。

---

《星岛头条》APP经已推出最新版本，请立即更新，浏览更精彩内容：https://bit.ly/3yLrgYZ