人臉識別技術應用愈來愈普遍,包括可快速和非接觸式驗證職員身份。但中大研究團隊分析市場上18個用於流動應用程式的人臉識別應用模組,當中11個存有安全漏洞,提醒市民要保護資料安全。
中大工程學院信息工程學系劉永昌教授領導的研究團隊,深入分析市場18個人臉識別服務供應商提供的流動應用模組,發現11個存在安全漏洞。黑客利用設計漏洞繞過活體檢測,冒用他人身份開立帳戶或盜取資料。
研究團隊撰寫應用程式以自動化分析方法,掃描18,000多個流動應用程式,發現當中近300個使用含有安全漏洞的人臉識別應用模組。團隊指,黑客透過相關漏洞,在某些情況下只需使用「受害者」的照片與身分資料,便可成功以受害者身份完成人臉驗證。團隊建議盡可能在雲端驗證人臉識別資料,以及將相關數據加密。
不少僱主為員工提供企業級WiFi及VPN服務,以方便他們利用流動裝置如手提電腦及智能手機工作。中大工程學院信息工程學系周思驍教授領導的研究團隊分析世界各地2,000多間高等院校、7,000多份WiFi用戶手冊,發現八成六學校有至少一項操作系統指示用戶採用不安全的WiFi設定。有關設定來自廠商及資訊科技管理人員的疏忽,令黑客可輕易假冒WiFi網絡,盜取大量用戶密碼。
近半VPN有嚴重漏洞
研究團隊測試全球132個被採用的VPN,在63個VPN中找出之前未被發現的嚴重漏洞,黑客可在用戶不知情的情況下盜取密碼。團體建議企業資訊科技管理員應教導公司使用者如何進行安全的網絡設定。