為了對面部識別設備中存在的安全性問題有更細微的了解，研究人員分析了四種不同模型的安全性。研究人員的案例研究表明，惡意攻擊者可能會濫用這些漏洞來攻擊設備。

指紋讀取器、虹膜掃描儀和面部識別攝像頭等生物識別安全解決方案已被廣泛用于管理面部設備安全的操作。但是這些生物特征認證器通常在計算上很繁瑣，例如，傳統(tǒng)的面部識別安全解決方案使用外部服務進行驗證用戶所需的計算。現(xiàn)場攝像機拍攝圖像，然后將其發(fā)送到進行處理的基于云的服務。在大規(guī)模的安全驗證中，身份驗證和用戶驗證之間會出現(xiàn)延遲，向身份驗證服務發(fā)送大量圖像數(shù)據(jù)也會導致網(wǎng)絡帶寬消耗問題。

[[345904]]

為了解決這些問題，安全解決方案制造商正在將邊緣計算用于基于面部識別的訪問控制設備。在這種架構(gòu)下，設備本身就是邊緣節(jié)點，并且配備齊全，可以直接驗證用戶圖像。這些具有邊緣計算功能的設備僅依賴外部服務來進行協(xié)調(diào)和維護任務。

由于沒有在網(wǎng)絡上傳輸用戶映像，因此該體系結(jié)構(gòu)減少了延遲和網(wǎng)絡帶寬消耗。但是，對于在驗證過程中配備有更高計算能力和更多職責的低功耗“啞”設備(多數(shù)的自動化設備不開放接口，即所謂的啞設備))存在安全方面的擔憂。

為了更全面地了解面部識別設備中存在的安全問題，研究人員分析了四種不同型號的安全性：ZKTeco FaceDepot-7B，海康威視DS-K1T606MF，Telpo TPS980和Megvii Koala。

實驗設置

設備及其服務器組件(如果適用)是在隔離的測試網(wǎng)絡中設置的，研究人員的安排模擬了這些設備在企業(yè)環(huán)境中的正常運行方式。如圖1所示，該設置包含三個組件：

• 門禁設備：這是正在測試的門禁設備;
• 中間人(MitM)設備：此設備用于透明地捕獲訪問控制設備和相應服務器組件之間的網(wǎng)絡數(shù)據(jù)包;
• 管理服務器：訪問控制設備通常隨附包含服務器組件的軟件套件， 服務器組件已安裝在此管理服務器中。

研究人員用來評估訪問控制設備安全性的設置圖

設備硬件中的漏洞

ZKTeco FaceDepot 7B室內(nèi)面部識別站

盡管設備本身采用的是固定的平板電腦尺寸，但如圖2所示，設備底部暴露的USB-A端口使其容易被誤用。服務該設備的技術(shù)人員使用該USB端口更新設備固件，但惡意用戶可能會在該設備上安裝Android軟件包(APK)。

ZKTeco訪問控制設備底部的一個暴露的USB端口

Telpo TPS980門禁終端

該設備有一個用于面部識別的前置攝像頭，升級后的機型配有兩個攝像頭和一個可選的紅外攝像頭。如圖3所示，設備后面是RS-485、Wiegand和數(shù)字輸出接口，還有一個用于調(diào)試的USB端口。在設備的背面還可以看到它的序列號。在下面的章節(jié)中，我們將詳細介紹攻擊者如何在惡意攻擊中使用這些功能。

Telpo訪問控制設備的正面和背面

濫用管理員訪問權(quán)限

此設備管理界面的唯一保護是密碼，通過使用設備的可見序列號，研究人員可以使用cURL命令從Telpo云服務器獲取設備密碼和其他敏感信息：

獲取密碼后，研究人員可以自由管理該設備。此訪問級別附帶的可能操作包括創(chuàng)建新用戶和更改設備參數(shù)，例如，活動檢測。動態(tài)檢測功能可以區(qū)分靜態(tài)圖片和真人。關(guān)閉此功能會使設備更容易受到靜態(tài)圖像的欺騙。

此外，由于所有連接到Telpo云帳戶的設備都共享相同的密碼，因此研究人員也可以訪問其他設備。

使用通過序列號獲得的client_secret信息(在前面的代碼片段中突出顯示)，研究人員還可以發(fā)現(xiàn)可用于遠程管理設備的access_token密鑰。研究人員在以下cURL命令中顯示此代碼：

使用access_token密鑰，研究人員現(xiàn)在可以遠程管理連接的設備。可能的遠程管理任務包括獲取用戶列表(包括他們的照片)、注冊新用戶以及更新用戶的詳細信息(例如姓名和照片)。使用此技術(shù)時，可能會阻止惡意攻擊者的唯一問題是密鑰在生成一小時后過期。

通過USB端口加載惡意文件

該設備的功能類似于普通的Android設備，這意味著惡意攻擊者可以使用USB端口啟用MTP(媒體傳輸協(xié)議)，并在設備的默認配置中傳輸文件。幸運的是，Telpo禁用了命令行工具Android Debug Bridge(adb)，該工具可使用戶直接與Android設備通信以進行應用程序安裝、系統(tǒng)修改、文件傳輸和其他設備操作。

但是，仍然可以通過連接到USB端口來收集用戶信息。注冊用戶的面部存儲在路徑/Telpo_face/Registered Image/中。攻擊者可以訪問這些文件，每個文件都使用用戶名和內(nèi)部ID命名，例如“John Doe-1368.jpg”。

未加密和不安全的網(wǎng)絡流量

ZKTeco FaceDepot 7B室內(nèi)面部識別站

設備和服務器之間的網(wǎng)絡流量是通過純文本HTTP完成的，這為惡意攻擊者留下了開放的途徑，然后他們可以輕松訪問通往IP攝像機設備的網(wǎng)絡，并嗅探設備與服務器之間的網(wǎng)絡流量。這樣，攻擊者可以獲取進行攻擊所需的信息。

在這種情況下，惡意攻擊者可以收集的最重要數(shù)據(jù)是令牌值。這是設備和服務器之間的共享秘密，在設備首次向服務器注冊時設置。因為令牌值隨設備的每個HTTP請求附加到cookie標頭，所以研究人員能夠獲得令牌值，如圖4所示。

存儲為cookie的令牌值

從研究人員觀察到的結(jié)果來看，服務器識別IP攝像機設備的唯一方法是通過此令牌值。如果獲取了令牌，則任何HTTP客戶端都可以模擬服務器上的訪問控制設備。在研究人員的例子中，研究人員使用cURL在獲得令牌后模擬訪問控制設備。研究人員還觀察到令牌值似乎沒有過期。兩周后，研究人員使用相同令牌進行的同一實驗仍成功進行了攻擊。

通過cURL注冊一個新用戶

擁有管理員權(quán)限的人可以添加新用戶，管理員獲取新用戶的照片和個人詳細信息，然后設備將這些信息上傳到服務器。如前所述，服務器通過令牌值對設備進行身份驗證，因為流量屬于明文，令牌值很容易獲取。

使用研究人員獲得的令牌值，研究人員可以向服務器發(fā)送HTTP請求，以模擬用戶注冊流量。以下cURL命令序列將一個新用戶注冊到服務器：

第一個cURL命令為新用戶注冊元數(shù)據(jù)，在本例中，用戶ID和PIN都設置為“11111”，權(quán)限設置為“0”(普通用戶)，名稱設置為“Bogus”。第二個cURL命令為新用戶設置照片。這張照片將是面部識別的基礎。該設備將圖像上傳到服務器，然后服務器將該圖像傳播到其他連接的訪問控制設備。

userdata.post文件包含研究人員通過POST提交給服務器的數(shù)據(jù)，在研究人員的例子中，文件包含以下內(nèi)容：

在服務器和連接的訪問控制設備之間的下一次同步事件中，所有設備都將識別新用戶。

通過cURL將用戶權(quán)限提升為管理員權(quán)限

使用令牌值也可以將用戶提升為管理員，為此，研究人員使用了以下cURL命令：

cURL命令將特權(quán)設置為“14”，這是使用戶成為管理員的值。服務器和所有連接的IP攝像機的下一次同步后，所有設備將識別新管理員。

如前所述，任何獲得令牌值的人都可以模擬設備和服務器之間的網(wǎng)絡流量。我們還發(fā)現(xiàn)可以從更新命令中獲取用戶照片和數(shù)據(jù)。

Megvii Koala人臉識別門

Megvii Koala有兩個版本：一個是在線版本，其數(shù)據(jù)庫托管在云中;一個是離線版本，用戶托管在本地的數(shù)據(jù)庫。在脫機版本中，訪問控制設備和服務器之間的網(wǎng)絡流量是通過HTTP完成的。由于HTTP流量的純文本性質(zhì)，此版本容易受到遠程攻擊。

研究人員發(fā)現(xiàn)可以模擬已連接的訪問控制設備并發(fā)送將識別并驗證的服務器數(shù)據(jù)，為此，研究人員使用了設備的媒體訪問控制(MAC)地址，該地址可以通過Nmap在網(wǎng)絡上以明文形式找到，或者在某些情況下在設備背面打印。研究人員發(fā)送了帶有MAC地址的cURL請求，以誘騙服務器認證注冊用戶并不再進行安全防護。以下是此技術(shù)的一個示例：

它使用以下值：

• MACADDRESS：這是連接的訪問控制設備的MAC地址;
• 0：這是為fmp_threshold設置的值，以禁用活動性檢測例程;
• mugshot.jpg：這是預先注冊的用戶的照片。 服務器將使用該圖像進行面部識別程序;

如果操作成功，則服務器將返回以下JSON數(shù)據(jù)：

返回的JSON數(shù)據(jù)的重要部分如下：

如果can_door_open的值為“true”，這將向門發(fā)出釋放鎖并打開的信號。

這種方法要求惡意攻擊者首先擁有注冊用戶的圖像，他們可以很容易地獲得這些圖像，他們可以簡單地在社交媒體平臺上搜索公司員工的照片。有了圖像，即使實際用戶不在附近，他們也可以遠程解鎖門。

?？低旸S-K1T606M人臉識別終端

對于此設備，研究人員注意到與服務器的通信似乎是編碼的自定義二進制格式。有跡象表明該協(xié)議未加密，這樣攻擊者就可以從網(wǎng)絡數(shù)據(jù)包中讀取設備的序列號。

但是，即使所使用的協(xié)議是二進制編碼的，并且也沒有記錄在案，仍然有可能從服務器和設備之間的網(wǎng)絡流量中獲取數(shù)據(jù)。當一個新用戶使用一個設備來注冊他們的信息和面部圖像時，設備會在下一次服務器同步時將數(shù)據(jù)上傳到服務器。在同步過程中，可以從網(wǎng)絡流量中獲取用戶信息甚至人臉識別圖像。

優(yōu)秀做法和緩解措施

針對特定技術(shù)的安全實踐很少被應用到其他不同的應用中，當研究人員查看將HTTP用于API通信時，這一點很明顯。HTTP是在20世紀90年代為桌面web瀏覽器引入的，經(jīng)過多年的改進，安全實踐得到了改進：加強協(xié)議、確保通信加密、確保會話不可重用等等。對于相對較舊的技術(shù)而言，邊緣計算是一種相對較新的媒體，并且許多邊緣設備制造商尚未采用這種安全措施。研究人員的案例研究表明，諸如訪問控制攝像頭之類的關(guān)鍵設備如何依賴經(jīng)過實踐檢驗的協(xié)議(如HTTP)，但是部署的系統(tǒng)卻缺少某些安全點。

為了緩解依賴這些設備所涉及的風險，企業(yè)用戶可以遵循以下安全部署準則：

• 檢查設備本身的安全性，并對任何基于邊緣的安裝執(zhí)行風險分析;
• 管理硬件漏洞，例如可見的設備信息和可訪問的端口;
• 將邊緣設備及其服務器隔離在網(wǎng)絡空間中，并使外部用戶無法訪問它們;
• 采用基于網(wǎng)絡的IP過濾(例如，以防火墻或訪問控制列表的形式)，以僅允許來自批準的網(wǎng)絡端點的通信;

除了以上漏洞外，研究人員還發(fā)現(xiàn)更多的安全問題，并在研究論文“識別和授權(quán)：偷偷通過基于邊緣的訪問控制設備”中闡述了其他緩解措施。