人臉識別︱中大研究揭App存漏洞繞過驗證比想像中簡單

更新時間：22:20 2023-10-26 HKT
發佈時間：22:20 2023-10-26 HKT

隨着人臉識別技術及企業級Wi-Fi與VPN之應用越發普及，當中的安全隱患令人關注。香港中文大學工程學院信息工程學系兩隊研究團隊最近分別於流動應用程式（App）的人臉識別系統，以及不同企業級Wi-Fi與VPN的設計中發現缺陷和漏洞，或會為用戶帶來安全風險。

劉永昌（左）及周思驍（右）。中大圖片

抽檢18個App 11個有漏洞

中大工程學院信息工程學系教授劉永昌領導的研究團隊，深入分析檢測了市場上18個人臉識別服務供應商提供的流動應用模組，發現其中11個存在安全漏洞。黑客可利用這些設計漏洞繞過「活體檢測」（即建立賬號時搖頭眨眼等動作），冒用他人身份開立賬戶或盜取資料。

研究團隊撰寫應用程式，以自動化分析方法，掃描了逾18,000多個流動應用程式，發現當中近300個使用了含安全漏洞的人臉識別應用模組。透過利用相關漏洞，黑客在某些情況下只需使用「受害者」的照片與身份資料，便可成功以受害者身分完成人臉驗證。

圖為一個廉價但便攜的偽冒Wi-Fi（Evil Twin）攻擊裝備。中大圖片

黑客可用低成本假冒Wi-Fi盜資料

中大工程學院信息工程學系教授周思驍領導的研究團隊，亦就多個主流企業級Wi-Fi及VPN服務進行了深入分析及測試。在企業級Wi-Fi方面，團隊分析了世界各地2,000多所高等院校的7,000多份Wi-Fi用戶手冊，發現大約有86%的學校有至少一項操作系統指示用戶採用不安全的Wi-Fi設定。這些設定來自廠商及資訊科技管理人員的疏忽，令黑客可透過低成本的假冒Wi-Fi網絡來盜取大量用戶的密碼。在VPN產品方面，研究團隊測試了全球132個被採用的VPN，並在其中63個VPN中找出之前未被發現的嚴重漏洞，讓黑客可以在用戶不知情的情況下盜取其密碼。

---

《星島頭條》APP經已推出最新版本，請立即更新，瀏覽更精彩內容：https://bit.ly/3yLrgYZ