人臉識別存漏洞 用照片都「過關」

中大揭18000App近300個有風險 黑客可繞過活體檢測盜私隱

隨着人臉識別技術的應用愈來愈普遍，不少流動裝置、應用程式或賬戶操作，透過掃描人臉就能啟動，不過有關的安全問題亦引人關注，更有不法分子盜取用戶的個人資料和硬照後「偷天換日」，成功通過人臉識別進入系統。香港中文大學研究人臉識別系統設計中的弱點，發現全球18,000多個流動應用程式（App）中，近300個存在安全漏洞，在一些情況下以硬照進行人臉識別亦能成功瞞天過海，從而登入IOS及Android流動裝置。學者建議，供應商採用多種方法加強驗證流動應用的防護，以及進行適當的加密，用家也不能盡信由客戶端傳回的結果。◆香港文匯報記者 吳健怡

人臉識別一直被視為最安全的生物識別技術，但由中大工程學院資訊工程學系教授劉永昌領導的研究團隊，深入分析檢測市場上18個人臉識別服務供應商提供的流動應用模組，發現其中11個存在安全漏洞，其共同點是黑客可利用這些設計漏洞繞過活體檢測，冒用他人身份開立賬戶或盜取資料。

研究團隊撰寫應用程式，以自動化分析方法，掃描了18,000多個流動應用程式，發現當中有294個使用了含安全漏洞的人臉識別應用模組。劉永昌表示，隨着人工智慧的快速發展和電腦視覺技術的不斷突破，人臉識別技術已完成商業化落地，而這些存在漏洞的流動應用程式，滲透到金融、消費、生活、教育等各個領域，關於金融方面的流動應用程式更佔39%。

學者倡數據加強加密

黑客在一些情況下，只需使用「受害者」的照片與身份資料，便可成功以「受害者」的照片完成人臉驗證。此外，劉永昌指出，現時為防止黑客盜用他人圖像進行身份欺騙或建立傀儡賬戶，大部分人臉識別系統要求用戶在建立賬戶時完成眨眼、搖頭等動作，甚至有系統需要進行紅外活體檢測，目的是確保真人完成人臉驗證手續而非硬照，但仍會防不勝防，有不法分子會通過3D列印面具或deepfake（深度偽造）等手段，利用機器學習模型弱點攻破人臉識別系統。

對填補人臉識別的漏洞，劉永昌認為須由人臉識別的開發者或發行者着手，應以多種方法加強流動應用的防護，如程式加固和動態反調試等，以及將所有流動應用、第三方模組、雲服務器之間傳輸的人臉識別相關數據進行適當的加密。

劉永昌強調，市民作為使用者也不應坐以待斃，使用人臉識別登入前，先確認這個網站或者軟件是否安全，盡量降低個人資訊的洩露風險。

全球86%高校至少一項Wi-Fi設定不安全

另外，不少僱主為員工提供企業級Wi-Fi 及 VPN服務，以方便他們利用流動裝置如手提電腦及能手機進行工作。中大工程學院資訊工程學系助理教授周思驍領導的研究團隊，就多個主流企業級Wi-Fi及VPN服務進行了深入分析及測試。在企業級 Wi-Fi 方面，世界各地2,000多所高等院校的7,000多份 Wi-Fi 用戶手冊，86%學校有至少一項操作系統指示用戶採用不安全的Wi-Fi 設定。

在VPN產品方面，研究團隊測試了全球132個被採用的VPN，並在其中63個找出之前未被發現的嚴重漏洞，讓黑客可以在用戶不知情的情況下盜取其密碼。

周思驍提醒，市民千萬不要盲目點擊「確定」、「連線」和「接受」等按鈕，遇到可疑的情況，應向所屬單位的資訊科技管理員報告及查詢。

人臉識別及Wi-Fi漏洞　

1.使用人臉識別系統的安全建議：　

◆盡可能在雲端驗證人臉識別信息，切勿完全相信由客戶端傳回的結果　

◆應以多種方法加強流動應用的防護，如程式加固和動態反調試等　

◆將所有流動應用、第三方模組、雲服務器之間運輸的人臉識別相關數據進行適當的加密　

2.使用 Wi-Fi 及VPN的安全建議　

對象　建議　

廠商　產品除了需具備良好功能和易於使用，亦要確保產品設計能令用戶安全設置；廠商要對產品進行徹底的測試，以防止可能會引致安全的風險　

資訊科技

管理員　在教導使用者時，除了接通網絡的操作方法，更重要的是教導他們如何進行安全的網絡設定。因此，在編寫使用手冊時，需要考慮可能發生的意外，並教導使用者如何正確地處理這些狀況　

使用者　盲目點擊「確定」、「連線」和「接受」等按鈕，通常不是一種有效保護網絡安全和個人資料的做法。在點擊按鈕之前，應嘗試了解潛在的影響，不要因為貪圖一時方便而後悔莫及。遇到可疑的情況，請向所屬單位的資訊科技管理員報告及查詢　

資料來源：香港中文大學

整理：香港文匯報記者 吳健怡