化妝教學、誠實的產品評論、展示您最新夢想假期的剪輯:這種內容每天都會出現在我們的社交媒體提要和個人資料上,以至於我們經常毫無興趣地滾動瀏覽。
但其他居心不良的人可能會更關注我們的臉在社群媒體上出現的方式。
最近的一份報告網路安全公司趨勢科技發現,在社群媒體上發布的影片可能會暴露敏感的生物識別數據,這些數據可能會被惡意行為者駭客攻擊,尤其是當這些影片品質非常高並且聚焦在我們的眼睛上時。
僅在 TikTok 上,就有近 1000 萬條帖子使用 #EyeMakeup 標籤,為那些願意學習如何提升化妝技能的人提供了無價的資源。
但趨勢科技研究人員警告說,這些影片暴露了用戶的臉部、視網膜和虹膜圖案,這些都是存取我們的數據和設備的寶貴資訊。
報導稱:“通過在社交媒體上公開分享某些類型的內容,我們為惡意行為者提供了獲取我們的生物識別信息的機會。”
「透過發布語音訊息,我們暴露了語音模式。透過發布照片和影片內容,我們會暴露我們的臉部、視網膜、虹膜、耳朵形狀圖案,在某些情況下還會暴露手掌和指紋。
「由於此類數據可以公開,我們對其分發的控制有限,」它補充道。 「因此,我們不知道誰已經存取了這些數據,也不知道這些數據將保留多長時間或用於什麼目的」。
生物辨識技術如何運作?
「生物辨識技術可以根據個人的身體或行為特徵自動識別個人,」首席安全長兼聯合創始人 Luca RognoniYEO 訊息傳遞,告訴歐洲新聞台。
「這些特徵可以包括指紋、臉部特徵、虹膜圖案或聲音。生物識別系統使用感測器捕獲這些信息,並使用演算法將其轉換為稱為生物識別數據的數位模板。然後生物識別數據被儲存並在類似比較的過程中使用以識別個人」。
生物辨識系統通常被認為比傳統的基於密碼的系統更安全,因為它們更難以欺騙或駭客攻擊。
「然而,沒有一個系統是完美的,並且已經發生了一些引人注目的生物辨識資料外洩的案例,」羅尼奧尼說。
如果您認為生物辨識系統只是蘋果 Face ID 的問題,請三思:生物辨識技術用於透過自動邊境管制、解鎖銀行帳戶、從 ATM 提取現金以及支付各種商品。
在社群媒體上發布的影片是否存在風險?
「簡單的答案是,是的,社群媒體上發布的影片中的生物辨識數據存在被盜的風險,」羅尼奧尼說。
「在網路安全世界中一切皆有可能。我能否從線上影片中獲取人臉的高解析度或虹膜的特寫圖片?是的,如果視訊品質足夠的話,這種情況很有可能發生。F5,告訴歐洲新聞台。
「過去有證據表明,高解析度照片被用來創建假眼,甚至 3D 列印臉部,以成功繞過生物識別測試,」Shepherd 說。
「這些可以在簡單的系統上運行,但繞過生物識別系統所需的數據變得越來越聰明。例如,臉部掃描還將尋找人體運動、深度、陰影和膚色,此外其他數據點將與生物識別技術結合使用。
謝潑德補充說,生物辨識技術的最大問題是,如果這些數據被駭客入侵,則無法像使用傳統密碼那樣用更安全的數據取代它。
「我們每年都會看到數十億用戶登入詳細資訊和密碼組合被洩露。這裡的主要區別是,如果您檢測到您的電子郵件和/或密碼已洩露,您就有機會重置您的密碼,阻止駭客利用您暴露的資料對您註冊的其他網站進行身份驗證。使用生物特徵認證方法,重置這些方法更具挑戰性,」他說。
Morgan Wright,網路安全公司首席安全顧問哨兵一號告訴歐洲新聞台,他認為一般用戶群面臨的風險是相對的,但隨著我們設備上的攝影機不斷改進,未來可能會增加。
「目前,根據擷取資料所需的步驟,我估計破壞虹膜生物辨識的風險較低。不過,這是基於今天的情況。隨著相機變得更加先進和演算法更加複雜,將有可能捕獲足夠的數據來複製人類虹膜,」他說。
賴特表示,另一方面,臉部辨識及其用於製造深度偽造品的技術已經構成了重大風險。
「這種情況更難預防,」他說,「越來越多的資源可以用來製作欺騙臉部辨識對策的真實照片」。
儘管駭客可以使用捕獲的物件臉部影像或視訊或複製和複製的指紋來存取他們的帳戶,但「當今的生物識別系統實施的攻擊防禦涉及能夠確定身體特徵是否正在被攻擊的演算法和感測器。從捕獲時在場的活人身上捕獲,」羅尼奧尼解釋。
羅尼奧尼表示,此類解決方案被稱為“演示攻擊防禦”,正在“快速發展,並且已經達到了針對活躍攻擊等多種演示攻擊的高水平緩解”。
網路安全專家如何抵禦針對生物辨識保護的攻擊?
網路安全專家可以採取一些措施來抵禦對生物辨識保護的攻擊。
首先,「他們可以跟上最新的安全威脅並制定相應的對策,」羅尼奧尼說。
其次,「他們可以對生物識別系統進行定期審核,以確保其安全,」他補充道。
最後,專家可以實施適當的安全控制,以在整個資料生命週期中安全地管理使用者的生物辨識資料。
在這種情況下,建立雙重身分驗證系統對於防止駭客存取您的帳戶至關重要。
「為了維護安全和資料隱私,組織必須越來越多地採用需要不可欺騙的數位身分的數位流程來抵禦這些複雜的攻擊,」CSO 和 CISO 顧問 David Mahdi扇貝屬告訴歐洲新聞下一步。
他說:“雖然生物識別技術盜竊和深度偽造是非常難以打擊的事情,但建立數位信任的最佳、經過驗證的方法是建立一個使用牢不可破的加密技術來確認參與者身份的系統。”
「這是透過基於公鑰基礎設施 (PKI) 的數位憑證來完成的。以 PKI 為中心的數位身分策略提供了一種從根本上更可用、更安全的身份驗證模型」。
您的生物辨識資料存在被盜的潛在風險這一事實並不意味著您應該停止在社群媒體上露面。不過,您可以採取一些基本步驟來確保您的線上身分安全。
「在自拍之前要了解你的背景:其中包括可能顯示敏感資訊的電腦螢幕,」賴特說。
「在製作影片或公開演講時,如果您認為自己是一個引人注目的目標,請注意附近擁有先進攝影設備的任何人。不要將手指直接暴露在相機上,因為高解析度相機可能能夠捕捉到它們獨特的圖案」。
儘管考慮到目前發生這種情況的風險相對較低,對生物辨識資料被盜的擔憂似乎有點過於偏執,但這是一個實際的威脅,未來極有可能成為現實。
「無論未來是五年還是二十年,現在都可以獲得數據。為了未來的自己,我們應該在今天採取預防措施,以在明天的世界中保護自己。
