小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞

本文主要是介绍小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

多个政务App存在安全漏洞

人脸识别风险的分析

保障人脸识别应用的安全


张女士从未到过湖南株洲,却发现自己名下有一家个体工商户,且该公司位于千里之外。她报警和反馈后得知,该个体户是通过网上办理并进行了实名验证,合法合规。然而这不是个例,黑龙江一名男子无故成为河北一家公司的独资股东,并承担了该公司拖欠641万元税款的责任;重庆一位教师发现自己莫名成为山东一家公司的法人,导致被列入失信人名单。

6月下旬,《新京报》调查发现,非法中介通过非法获取身份信息和人脸照片,利用AI换脸技术成功破解相关政务App。这些不法行为,使得不法人员能够利用他人的身份信息注册公司或替换已成立公司的股东。

图片


多个政务App存在安全漏洞

自2019年3月1日起,全国多地市场监督管理部门开始实施企业登记身份信息的“实名制”,要求在设立或变更、注销公司时,当事人除了填写身份信息外,还需要通过企业登记App进行“人脸识别”认证。

《新京报》调查显示,尽管公司股东变更需要所有股东扫码完成电子签名,但非法中介通过破解人脸识别和使用AI技术实现“骗过”政务网站的认证,实现公司股东秘密被撤换。

由于多个政务App的人脸识别功能存在易被破解的问题。非法中介可以通过AI技术,提取静态图片的脸部信息,让人物完成眨眼、点头等动作,从而通过了某款App的实名认证,仅用时3分钟。调查还发现,有不法分子出售“查档”服务,只需提供姓名和身份证号,就能获得当事人的户籍信息,包括证件照、性别、民族和户籍所在地区县。

在某市注册个体工商户过程中,《新京报》记者只是向非法中介提供一个人的名字和身份证号,非法中介就使用某省掌上登记App扫码后,页面跳转进入电子化平台,随后在电子化平台发现当事人的身份证照片,已提交在平台中。

非法中介声称他们不仅可以破解多个省级企业登记App,部分省级税务App的人脸识别也能被破解。使用他人信息设立的公司多用于非法活动,如虚开发票、洗钱、诈骗等。人脸和指纹都可被复制,人脸识别并非特别安全的验证方式。AI技术可以让照片中的人物完成动作,骗过具有活体检测的人脸识别。

图片


人脸识别风险的分析

由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子甚至会开发作弊工具来破解、干扰、攻击人脸识别技术背后的应用和算法,进而引发盗窃、诈骗、盗取资金安全乃至人身安全问题。

根据2022年顶象发布的《人脸识别安全白皮书》分析,以上政务App的人脸识别风险主要是人脸识别算法不精准和人脸识别系统不安全造成。

人脸识别算法不精准

戴上眼镜、帽子、面具,或者制作高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等,骗过人脸识别算法和活体监测算法。

虚假人脸。使用静态照片、通过播放预录制动态视频、利用图像处理或三维建模软件将照片转换为动态视频,混淆人脸识别判断。

人脸改造。戴上眼镜、帽子、面具等伪装手段,或者制作高仿模型、将2D人脸照片3D建模、照片活化等方式,骗过人脸识别检测。

技术换脸。通过AI算法,将视频中的人物面容替换为他人面容。或者通过AI换脸技术,将一张普通的静态照片,转化生成一张表情生动的人脸,甚至可以轻松地贴在另一个人的脸上,随着另一个人的动作和表情自动变化。

人脸识别系统不安全

破解人脸识别应用或保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将真数据替换为假数据,以骗过人脸识别的核验。

系统遭破解。不法分子破解人脸识别系统代码、人脸识别应用的代码,篡改人脸识别代码的逻辑,或者注入攻击脚本,改变其执行流程,人脸识别系统按照攻击者设定的路径进行访问、反馈。

设备遭劫持。通过入侵人脸识别设备,或在设备上植入后门,通过刷入特定的程序来劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验。

通信遭篡改。通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。

图片


保障人脸识别应用的安全

8月初,国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》公开征求意见的通知。其中,对人脸信息采集、人脸信息使用、人脸识别技术安全保障做出了具体规定,要人脸识别技术服务需符合网络安全等级保护第三级以上保护要求,并每年对相关设备进行风险检测评估。

基于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》及政务App存在人脸识别风险,顶象建议在政务App可以提升人脸识别精准度,并且加强人脸识别系统的安全保障。

人脸识别精准度的提升。基于纹理的方法分析人脸图像样本中的微观纹理图案,进一步增强照片和真人的识别度;通过计算头发而非面部的傅里叶光谱,增强人脸视频检测的精准度。增加唇语活体检测;增加图像的纹理、光线、背景、屏幕反射检测;使用专门的红外摄像头对人脸进行三维结构采集等。

人脸识别系统安全保障。对人脸识别应用、App、客户端进行代码混淆、加密加壳、权限控制,做好终端环境安全检测;对数据通讯传输混淆加密,防止信息传输过程中遭到窃听、篡改、冒用;风控决策引擎能够全面检测设备环境,实时发现注入、二次打包、劫持等各类风险及异常操作;建专属的风控模型,为发现潜在风险、未知威胁、保障人脸识别安全提供策略支撑。

顶象业务安全感知防御平台基于威胁探针、流计算、机器学习等先进技术,集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体的主动安全防御平台,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防控各类人脸识别系统风险。

这篇关于小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/411188

相关文章

OWASP十大安全漏洞解析

OWASP(开放式Web应用程序安全项目)发布的“十大安全漏洞”列表是Web应用程序安全领域的权威指南,它总结了Web应用程序中最常见、最危险的安全隐患。以下是对OWASP十大安全漏洞的详细解析: 1. 注入漏洞(Injection) 描述:攻击者通过在应用程序的输入数据中插入恶意代码,从而控制应用程序的行为。常见的注入类型包括SQL注入、OS命令注入、LDAP注入等。 影响:可能导致数据泄

easyui同时验证账户格式和ajax是否存在

accountName: {validator: function (value, param) {if (!/^[a-zA-Z][a-zA-Z0-9_]{3,15}$/i.test(value)) {$.fn.validatebox.defaults.rules.accountName.message = '账户名称不合法(字母开头,允许4-16字节,允许字母数字下划线)';return fal

【408DS算法题】039进阶-判断图中路径是否存在

Index 题目分析实现总结 题目 对于给定的图G,设计函数实现判断G中是否含有从start结点到stop结点的路径。 分析实现 对于图的路径的存在性判断,有两种做法:(本文的实现均基于邻接矩阵存储方式的图) 1.图的BFS BFS的思路相对比较直观——从起始结点出发进行层次遍历,遍历过程中遇到结点i就表示存在路径start->i,故只需判断每个结点i是否就是stop

创业者该如何设计公司的股权架构

本文来自七八点联合IT橘子和车库咖啡的一系列关于设计公司股权结构的讲座。 主讲人何德文: 在公司发展的不同阶段,创业者都会面临公司股权架构设计问题: 1.合伙人合伙创业第一天,就会面临股权架构设计问题(合伙人股权设计); 2.公司早期要引入天使资金,会面临股权架构设计问题(天使融资); 3.公司有三五十号人,要激励中层管理与重要技术人员和公司长期走下去,会面临股权架构设计问题(员工股权激

struts2中的json返回指定的多个参数

要返回指定的多个参数,就必须在struts.xml中的配置如下: <action name="goodsType_*" class="goodsTypeAction" method="{1}"> <!-- 查询商品类别信息==分页 --> <result type="json" name="goodsType_findPgae"> <!--在这一行进行指定,其中lis是一个List集合,但

一款支持同一个屏幕界面同时播放多个视频的视频播放软件

GridPlayer 是一款基于 VLC 的免费开源跨平台多视频同步播放工具,支持在一块屏幕上同时播放多个视频。其主要功能包括: 多视频播放:用户可以在一个窗口中同时播放任意数量的视频,数量仅受硬件性能限制。支持多种格式和流媒体:GridPlayer 支持所有由 VLC 支持的视频格式以及流媒体 URL(如 m3u8 链接)。自定义网格布局:用户可以配置播放器的网格布局,以适应不同的观看需求。硬

MFC中App,Doc,MainFrame,View各指针的互相获取

纸上得来终觉浅,为了熟悉获取方法,我建了个SDI。 首先说明这四个类的执行顺序是App->Doc->Main->View 另外添加CDialog类获得各个指针的方法。 多文档的获取有点小区别,有时间也总结一下。 //  App void CSDIApp::OnApp() {      //  App      //  Doc     CDocument *pD

如何删除不小心上传到git远程仓库中的.idea .iml文件

如果在开始的时候不配置,gitignore文件或者文件配置不正确,初始化上传的时候就会有一些不必要的信息上传上去 如果已经存在了一些文件在git远程仓库中,如。idea,.iml文件等。 首先在项目中定义一个  .gitignore文件,简单的实例如下也可以用idea中的gitignore插件 .DS_Storeclasses/*.settings/target/.classpath

ConstraintLayout布局里的一个属性app:layout_constraintDimensionRatio

ConstraintLayout 这是一个约束布局,可以尽可能的减少布局的嵌套。有一个属性特别好用,可以用来动态限制宽或者高app:layout_constraintDimensionRatio 关于app:layout_constraintDimensionRatio参数 app:layout_constraintDimensionRatio=“h,1:1” 表示高度height是动态变化

如何成为一个优秀的测试工程师

链接地址:http://blog.csdn.net/KerryZhu/article/details/5250504 我一直在想,如何将自己的测试团队打造成世界一流的团队?流程、测试自动化、创新、扁平式管理、国际标准制定、测试社区贡献、…… 但首先一点是明确的,就是要将每一个测试工程师打造成优秀的测试工程师,优秀的团队必须由优秀的成员构成。所以,先讨论“如何成为一个优秀的测试工程师”,