为了更细致地了解面部识别设备中的安全问题,研究人员分析了四种不同模型的安全性。研究人员的案例研究表明,恶意行为者可能会滥用这些漏洞来攻击设备。指纹读取器、虹膜扫描仪和面部识别摄像头等生物识别安全解决方案已广泛用于管理面部设备安全操作。但是这些生物特征认证器的计算量通常很大;例如,传统的面部识别安全解决方案使用外部服务来进行用户身份验证所需的计算。现场摄像头捕捉图像,然后将其发送到基于云的服务进行处理。在大规模的安全验证中,认证和用户验证之间会存在延迟,并且向认证服务发送大量图像数据也会造成网络带宽消耗问题。为了解决这些问题,安全解决方案制造商正在将边缘计算用于基于面部识别的访问控制设备。在这种架构下,设备本身就是边缘节点,完全具备直接验证用户图像的能力。这些支持边缘计算的设备仅依赖外部服务来完成协调和维护任务。这种架构减少了延迟和网络带宽消耗,因为没有用户图像通过网络传输。然而,低功耗的“哑”设备(大多数自动化设备不开放接口,即所谓的哑设备)在验证过程中配备了更高的计算能力和更多的责任,存在安全隐患。为了更全面地了解面部识别设备的安全问题,研究人员分析了四种不同型号的安全性:ZKTecoFaceDepot-7B、海康威视DS-K1T606MF、TelpoTPS980和MegviiKoala。实验设置设备及其服务器组件(如果适用)设置在隔离的测试网络中,研究人员的布置模拟了这些设备在企业环境中的正常运行方式。如图1所示,设置由三个部分组成:访问控制设备:这是被测访问控制设备;中间人(MitM)设备:该设备用于透明地捕获访问控制设备和相应服务器组件之间的网络数据包;管理服务器:访问控制设备通常带有一个包含服务器组件的软件套件,这些组件安装在管理服务器上。研究人员用于评估访问控制设备安全性的设置图设备硬件中的漏洞ZKTecoFaceDepot7B室内人脸识别站虽然设备本身是固定平板尺寸,如图2所示,但暴露的USB-A端口使其容易被滥用。维修设备的技术人员使用USB端口更新设备的固件,但恶意用户可能会在设备上安装Android程序包(APK)。中控天波TPS980门禁终端机底部裸露的USB端口该设备具有用于面部识别的前置摄像头,升级型号配备两个摄像头和一个可选的红外摄像头。如图3所示,设备后面是RS-485、Wiegand和数字输出接口,以及一个用于调试的USB接口。您还可以在设备背面看到其序列号。在接下来的章节中,我们将详细介绍攻击者如何利用这些特性进行恶意攻击。天波门禁设备前后滥用管理员访问权限。设备管理界面的唯一保护是密码。通过使用设备的可见序列号,研究人员能够使用cURL命令从天波云服务器获取设备的密码和其他敏感信息:GET密码后,研究人员可以自由管理设备。附加到此访问级别的可能操作包括创建新用户和更改设备参数,例如,活体检测。运动检测功能可以区分静态图片和真人。关闭此功能会使设备更容易被静态图像欺骗。此外,由于连接到Telpo云帐户的所有设备共享相同的密码,因此研究人员也可以访问其他设备。使用通过序列号(在前面的代码片段中突出显示)获得的client_secret信息,研究人员还能够发现可用于远程管理设备的access_token密钥。研究人员在以下cURL命令中显示此代码:使用access_token密钥,研究人员现在可以远程管理连接的设备。可能的远程管理任务包括获取用户列表(包括他们的照片)、注册新用户以及更新用户的详细信息(例如姓名和照片)。使用此技术时唯一可能阻止恶意攻击者的问题是密钥在生成一小时后过期。通过USB端口加载恶意文件该设备的功能类似于普通的Android设备,这意味着恶意攻击者可以使用USB端口启用MTP(媒体传输协议)并在设备的默认配置中传输文件。幸运的是,Telpo禁用了命令行工具AndroidDebugBridge(adb),该工具允许用户直接与Android设备通信,进行应用程序安装、系统修改、文件传输和其他设备操作。但是,仍然可以通过连接到USB端口来收集用户信息。注册用户的人脸存储在路径/Telpo_face/RegisteredImage/。攻击者可以访问这些文件,每个文件都以用户名和内部ID命名,例如“JohnDoe-1368.jpg”。未加密和不安全的网络流量ZKTecoFaceDepot7B室内面部识别站设备和服务器之间的网络流量是通过纯文本HTTP完成的,这为恶意攻击者留下了开放的途径,他们可以轻松地访问网络摄像头设备和嗅探网络设备和服务器之间的流量。这样,攻击者就可以获得实施攻击所需的信息。在这种情况下,恶意攻击者可以收集的最重要的数据是令牌值。这是设备和服务器之间的共享秘密,在设备首次向服务器注册时设置。由于来自设备的每个HTTP请求都会将令牌值附加到cookie标头,因此研究人员能够获取令牌值,如图4所示。令牌值存储为cookie根据研究人员的观察,唯一的方法是服务器识别网络摄像头设备就是通过这个token值。如果获得令牌,任何HTTP客户端都可以冒充服务器上的访问控制设备。在我们的例子中,我们使用cURL在获取令牌后模拟访问控制设备。研究人员还观察到代币价值似乎没有过期。两周后,研究人员使用相同令牌进行的相同实验仍然成功。通过cURL注册新用户具有管理员权限的人可以添加新用户,管理员获取新用户的照片和个人详细信息,设备将这些上传到服务器。如前所述,服务器通过令牌值对设备进行身份验证,令牌值很容易获得,因为流量是明文的。使用研究人员获得的令牌值,研究人员可以向服务器发送HTTP请求来模拟用户注册流量。以下cURL命令序列向服务器注册新用户:第一个cURL命令为新用户注册元数据,在此示例中,用户ID和PIN都设置为“11111”,权限设置为“0”(普通用户),名称设置为“Bogus”。第二个cURL命令为新用户设置照片。这张照片将成为面部识别的基础。设备将图像上传到服务器,然后服务器将图像广播到其他连接的访问??控制设备。userdata.post文件包含研究人员通过POST提交给服务器的数据。在研究人员的示例中,该文件包含以下内容:在服务器和连接的访问??控制设备之间的下一个同步事件中,所有设备都将识别新用户。通过cURL将用户权限提升为管理员权限使用令牌值还可以将用户提升为管理员权限,为此研究人员使用了以下cURL命令:membervalue。在服务器和所有连接的网络摄像机的下一次同步之后,所有设备将识别新管理员。如前所述,任何人获得令牌的值都可以模拟设备和服务器之间的网络流量。我们还发现可以从更新命令中获取用户照片和数据。旷视考拉人脸识别闸机旷视考拉有两个版本:一个是在线版,数据库托管在云端;另一个是离线版本,用户在其中托管本地数据库。在离线版本中,访问控制设备和服务器之间的网络流量通过HTTP完成。由于HTTP流量的纯文本性质,此版本容易受到远程攻击。研究人员发现,可以冒充连接的访问??控制设备并发送将被识别和验证的服务器数据。为此,研究人员使用了设备的媒体访问控制(MAC)地址,该地址可以通过Nmap在网络上以明文形式找到,或者在某些情况下印在设备背面。研究人员发送带有MAC地址的cURL请求,以诱骗服务器对注册用户进行身份验证并取消安全保护。这是此技术的一个示例:它使用以下值:MACADDRESS:这是连接的访问??控制设备的MAC地址;0:这是为fmp_threshold设置的值,用于禁用活体检测例程;mugshot.jpg:这是预注册用户的照片。服务器将使用此图像进行面部识别程序;如果操作成功,服务器会返回如下JSON数据:返回的JSON数据中重要的部分如下:如果can_door_open的值为“true”,这会发出释放锁和开门信号。这种方法要求恶意攻击者首先拥有注册用户的图像,他们只需在社交媒体平台上搜索公司员工的照片即可轻松获得这些图像。有了图像,实际用户即使不在附近也可以远程开锁。海康威视DS-K1T606M人脸识别终端对于这款设备,研究人员注意到与服务器的通信似乎以自定义二进制格式进行编码。有迹象表明该协议未加密,允许攻击者从网络数据包中读取设备的序列号。然而,即使使用的协议是二进制编码的并且也没有记录,仍然可以从服务器和设备之间的网络流量中获取数据。当新用户使用设备注册他们的信息和面部图像时,设备会在下一次服务器同步时将数据上传到服务器。在同步过程中,可以从网络流量中获取用户信息,甚至面部识别图像。良好实践和缓解措施特定于技术的安全实践很少应用于其他不同的应用程序,当研究人员研究使用HTTP进行API通信时,这一点很明显。HTTP是在1990年代为桌面Web浏览器引入的,多年来安全实践得到了改进:加强协议、确保通信加密、确保会话不可重用等等。边缘计算对于相对较旧的技术来说是一种相对较新的媒介,许多边缘设备制造商尚未采用这种安全措施。研究人员的案例研究表明,门禁摄像头等关键设备如何依赖HTTP等久经考验的协议,但部署的系统却缺乏某些安全点。为了减轻依赖这些设备所涉及的风险,企业用户可以遵循以下安全部署指南:检查设备本身的安全性并对任何基于边缘的安装进行风险分析;管理硬件漏洞,例如可见的设备信息和可访问的端口;隔离网络空间中的边缘设备及其服务器,使外部用户无法访问;采用基于网络的IP过滤(例如,以防火墙或访问控制列表的形式)以仅允许来自经批准的网络端点的流量通信;除了上述漏洞外,研究人员还发现了更多安全问题,并在研究论文“身份识别和授权:潜入基于边缘的访问控制设备”中提出了额外的缓解措施。
