小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞

本文主要是介绍小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

多个政务App存在安全漏洞

人脸识别风险的分析

保障人脸识别应用的安全


张女士从未到过湖南株洲,却发现自己名下有一家个体工商户,且该公司位于千里之外。她报警和反馈后得知,该个体户是通过网上办理并进行了实名验证,合法合规。然而这不是个例,黑龙江一名男子无故成为河北一家公司的独资股东,并承担了该公司拖欠641万元税款的责任;重庆一位教师发现自己莫名成为山东一家公司的法人,导致被列入失信人名单。

6月下旬,《新京报》调查发现,非法中介通过非法获取身份信息和人脸照片,利用AI换脸技术成功破解相关政务App。这些不法行为,使得不法人员能够利用他人的身份信息注册公司或替换已成立公司的股东。

图片


多个政务App存在安全漏洞

自2019年3月1日起,全国多地市场监督管理部门开始实施企业登记身份信息的“实名制”,要求在设立或变更、注销公司时,当事人除了填写身份信息外,还需要通过企业登记App进行“人脸识别”认证。

《新京报》调查显示,尽管公司股东变更需要所有股东扫码完成电子签名,但非法中介通过破解人脸识别和使用AI技术实现“骗过”政务网站的认证,实现公司股东秘密被撤换。

由于多个政务App的人脸识别功能存在易被破解的问题。非法中介可以通过AI技术,提取静态图片的脸部信息,让人物完成眨眼、点头等动作,从而通过了某款App的实名认证,仅用时3分钟。调查还发现,有不法分子出售“查档”服务,只需提供姓名和身份证号,就能获得当事人的户籍信息,包括证件照、性别、民族和户籍所在地区县。

在某市注册个体工商户过程中,《新京报》记者只是向非法中介提供一个人的名字和身份证号,非法中介就使用某省掌上登记App扫码后,页面跳转进入电子化平台,随后在电子化平台发现当事人的身份证照片,已提交在平台中。

非法中介声称他们不仅可以破解多个省级企业登记App,部分省级税务App的人脸识别也能被破解。使用他人信息设立的公司多用于非法活动,如虚开发票、洗钱、诈骗等。人脸和指纹都可被复制,人脸识别并非特别安全的验证方式。AI技术可以让照片中的人物完成动作,骗过具有活体检测的人脸识别。

图片


人脸识别风险的分析

由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子甚至会开发作弊工具来破解、干扰、攻击人脸识别技术背后的应用和算法,进而引发盗窃、诈骗、盗取资金安全乃至人身安全问题。

根据2022年顶象发布的《人脸识别安全白皮书》分析,以上政务App的人脸识别风险主要是人脸识别算法不精准和人脸识别系统不安全造成。

人脸识别算法不精准

戴上眼镜、帽子、面具,或者制作高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等,骗过人脸识别算法和活体监测算法。

虚假人脸。使用静态照片、通过播放预录制动态视频、利用图像处理或三维建模软件将照片转换为动态视频,混淆人脸识别判断。

人脸改造。戴上眼镜、帽子、面具等伪装手段,或者制作高仿模型、将2D人脸照片3D建模、照片活化等方式,骗过人脸识别检测。

技术换脸。通过AI算法,将视频中的人物面容替换为他人面容。或者通过AI换脸技术,将一张普通的静态照片,转化生成一张表情生动的人脸,甚至可以轻松地贴在另一个人的脸上,随着另一个人的动作和表情自动变化。

人脸识别系统不安全

破解人脸识别应用或保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将真数据替换为假数据,以骗过人脸识别的核验。

系统遭破解。不法分子破解人脸识别系统代码、人脸识别应用的代码,篡改人脸识别代码的逻辑,或者注入攻击脚本,改变其执行流程,人脸识别系统按照攻击者设定的路径进行访问、反馈。

设备遭劫持。通过入侵人脸识别设备,或在设备上植入后门,通过刷入特定的程序来劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验。

通信遭篡改。通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。

图片


保障人脸识别应用的安全

8月初,国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》公开征求意见的通知。其中,对人脸信息采集、人脸信息使用、人脸识别技术安全保障做出了具体规定,要人脸识别技术服务需符合网络安全等级保护第三级以上保护要求,并每年对相关设备进行风险检测评估。

基于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》及政务App存在人脸识别风险,顶象建议在政务App可以提升人脸识别精准度,并且加强人脸识别系统的安全保障。

人脸识别精准度的提升。基于纹理的方法分析人脸图像样本中的微观纹理图案,进一步增强照片和真人的识别度;通过计算头发而非面部的傅里叶光谱,增强人脸视频检测的精准度。增加唇语活体检测;增加图像的纹理、光线、背景、屏幕反射检测;使用专门的红外摄像头对人脸进行三维结构采集等。

人脸识别系统安全保障。对人脸识别应用、App、客户端进行代码混淆、加密加壳、权限控制,做好终端环境安全检测;对数据通讯传输混淆加密,防止信息传输过程中遭到窃听、篡改、冒用;风控决策引擎能够全面检测设备环境,实时发现注入、二次打包、劫持等各类风险及异常操作;建专属的风控模型,为发现潜在风险、未知威胁、保障人脸识别安全提供策略支撑。

顶象业务安全感知防御平台基于威胁探针、流计算、机器学习等先进技术,集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体的主动安全防御平台,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防控各类人脸识别系统风险。

这篇关于小心悄悄被成为公司“法人”!曝多个APP存在重大安全漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/411188

相关文章

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、

MySQL INSERT语句实现当记录不存在时插入的几种方法

《MySQLINSERT语句实现当记录不存在时插入的几种方法》MySQL的INSERT语句是用于向数据库表中插入新记录的关键命令,下面:本文主要介绍MySQLINSERT语句实现当记录不存在时... 目录使用 INSERT IGNORE使用 ON DUPLICATE KEY UPDATE使用 REPLACE

基于Flask框架添加多个AI模型的API并进行交互

《基于Flask框架添加多个AI模型的API并进行交互》:本文主要介绍如何基于Flask框架开发AI模型API管理系统,允许用户添加、删除不同AI模型的API密钥,感兴趣的可以了解下... 目录1. 概述2. 后端代码说明2.1 依赖库导入2.2 应用初始化2.3 API 存储字典2.4 路由函数2.5 应

Android App安装列表获取方法(实践方案)

《AndroidApp安装列表获取方法(实践方案)》文章介绍了Android11及以上版本获取应用列表的方案调整,包括权限配置、白名单配置和action配置三种方式,并提供了相应的Java和Kotl... 目录前言实现方案         方案概述一、 androidManifest 三种配置方式

Python实现合并与拆分多个PDF文档中的指定页

《Python实现合并与拆分多个PDF文档中的指定页》这篇文章主要为大家详细介绍了如何使用Python实现将多个PDF文档中的指定页合并生成新的PDF以及拆分PDF,感兴趣的小伙伴可以参考一下... 安装所需要的库pip install PyPDF2 -i https://pypi.tuna.tsingh

Python自动化办公之合并多个Excel

《Python自动化办公之合并多个Excel》在日常的办公自动化工作中,尤其是处理大量数据时,合并多个Excel表格是一个常见且繁琐的任务,下面小编就来为大家介绍一下如何使用Python轻松实现合... 目录为什么选择 python 自动化目标使用 Python 合并多个 Excel 文件安装所需库示例代码

Java实现检查多个时间段是否有重合

《Java实现检查多个时间段是否有重合》这篇文章主要为大家详细介绍了如何使用Java实现检查多个时间段是否有重合,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录流程概述步骤详解China编程步骤1:定义时间段类步骤2:添加时间段步骤3:检查时间段是否有重合步骤4:输出结果示例代码结语作

Java判断多个时间段是否重合的方法小结

《Java判断多个时间段是否重合的方法小结》这篇文章主要为大家详细介绍了Java中判断多个时间段是否重合的方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录判断多个时间段是否有间隔判断时间段集合是否与某时间段重合判断多个时间段是否有间隔实体类内容public class D

linux下多个硬盘划分到同一挂载点问题

《linux下多个硬盘划分到同一挂载点问题》在Linux系统中,将多个硬盘划分到同一挂载点需要通过逻辑卷管理(LVM)来实现,首先,需要将物理存储设备(如硬盘分区)创建为物理卷,然后,将这些物理卷组成... 目录linux下多个硬盘划分到同一挂载点需要明确的几个概念硬盘插上默认的是非lvm总结Linux下多

mysqld_multi在Linux服务器上运行多个MySQL实例

《mysqld_multi在Linux服务器上运行多个MySQL实例》在Linux系统上使用mysqld_multi来启动和管理多个MySQL实例是一种常见的做法,这种方式允许你在同一台机器上运行多个... 目录1. 安装mysql2. 配置文件示例配置文件3. 创建数据目录4. 启动和管理实例启动所有实例