今天泄露，终身利用：社交媒体生物识别模式如何影响您的未来

泄露的今天,用于生活 社交媒体生物模式如何 影响你的未来 克雷格·吉布森，弗拉基米尔·克鲁波托夫，菲利普·林，罗伯特·麦卡德尔，费奥多尔·亚罗奇金 趋势科技法律免责声明 此处提供的信息仅供一般参考 仅用于教育目的。它不是故意的和不应被解释为构成法律建议。这此处包含的信息可能不适用于所有情况，可能无法反映最新情况。 此处包含的任何内容均不应依赖或采取行动在没有基于 提出具体的事实和情况，但什么都没有本应该被理解。趋势科技 保留修改本文档内容的权利在任何时间,恕不另行通知。 将任何材料翻译成其他语言是仅用于方便。翻译准确性 不作保证或暗示。如果出现任何问题关于翻译的准确性，请参考 文件的原始语言正式版本。任何翻译中产生的差异或差异是 不具有约束力，对合规没有法律效力，或执行的目的。 尽管趋势科技尽合理努力将 此处的准确和最新信息，趋势科技不作任何形式的保证或陈述 其准确性、时效性或完整性。您同意访问、使用和依赖本文档 及其内容的风险由您自行承担。趋势科技不承担任何明示或暗示的保证。 趋势科技和参与创建的任何一方都不会，制作或交付本文件应承担责任 对于任何后果，损失或损害，包括直接， 间接的、特殊的、后果性的、商业利润的损失，或因访问而引起的特殊损害， 使用或无法使用，或与使用 本文档，或内容中的任何错误或遗漏其中。使用此信息即表示接受 使用“是”的条件。 内容 5 暴露的是什么? 31 这如何影响人们:现在和未来的袭击场景 44 建议读者 48 结论 50 附录 发表的 趋势科技的研究 写的 克雷格•吉布森 弗拉基米尔•Kropotov菲利普·Z林, 罗伯特•麦卡德尔费奥多Yarochkin 趋势科技 股票图像的许可下使用 Shutterstock.com Raimund基因(1963-2017) 社交媒体让我们有机会与朋友，亲戚，甚至获得全世界的认可。我们喜欢在照片，视频和 音频格式。不幸的是，通过分享个人媒体内容，我们也经常暴露我们的敏感的生物识别模式。例如，有近1000万个帖子使用 在Instagram中#EyeMakeup主题标签，而在TikTok中使用#EyeChallenge主题标签的视频拥有超过20亿次观看。但是，这两个主题标签都会显示暴露其 虹膜模式。 今天，生物识别技术在我们的生活中扮演着比它们更重要的角色。十年前。例如，以下日常方案使用生物识别技术： •通过自动化手段通过边境控制 •解锁银行账户并从自动取款机提取现金 •在下一代杂货店支付食物费用 •支付配备生物识别传感器的公共交通工具 通过牢记这些场景，我们可以清楚地了解以下部分： 生物识别技术在我们的生活中发挥作用。更重要的是，这些事件发生在特定的情况及其对用户有明显的后果。例如，用户通过 自动边境管制被通知，如果系统识别到它们，则允许继续进行，就像如果系统没有，他们可能会收到警报并被拒绝进入一样。 在其他情况下，我们的行为是如此平凡，以至于我们几乎不会注意到每天有多少次。我们使用我们的生物识别技术，例如当我们用指纹解锁智能设备时，或者 我们的脸。即使我们需要执行某些操作，例如正确触摸传感器用手指或将我们的手机摄像头放在适当的位置，这些动作似乎自然,感觉几乎自动。 但是，通过在社交媒体上公开分享某些类型的内容，我们给予恶意 演员有机会获取我们的生物识别技术。通过发布我们的语音消息，我们公开了 语音模式。通过发布照片和视频内容，我们暴露了我们的脸，视网膜，虹膜，耳朵形状图案，在某些情况下，手掌和指纹。 由于此类数据可以公开获得，因此我们对其分发的控制有限。我们因此，不知道谁已经访问了数据，也不知道多长时间了 数据将被保留或用于什么目的。 这种暴露的后果是什么？我们什么时候会意识到这些后果——如果我们真的意识到了它们呢？ 关于这些数据有很多问题，这些问题有几个原因 在我们当前的气候下变得更加重要。目前，我们正处于一个转折点。当新技术能力的结合，如分辨率的提高 智能手机摄像头、支持4K视频和高分辨率照片的媒体平台、云和数据挖矿，人工智能和机器学习（ML）功能势必会显著改变安全风险。 这个创新的大熔炉已经开始导致生物识别数据的利基用途。例如监控摄像机根据经过训练的面部识别算法跟踪个人 之前上传到社交媒体上的个人数据。1网络罪犯可以利用相同的 来自社交媒体的数据，用于发起身份盗用攻击或生成深度伪造（尤其是深度伪造公众人物)。 同样的社交媒体数据也可以用于身份盗窃攻击，政府监控， 或深度伪造的生成（特别是公众人物的假货）。虽然金融犯罪使用 这些数据今天仍然很低，进入门槛只会继续下降，随之而来的是滥用的规模。随着时间的推移也会增加。 乍一看，生物识别技术似乎是一个多合一的解决方案。它们是可以使用的独特的东西用于识别和身份验证，并始终与您同在。几十年来，生物识别技术一直被使用。 用于几个利基应用：促进刑事调查和取证或访问政府 例如，建筑物。如今，生物识别技术的作用不断扩大，亿万人 每天使用它。不幸的是，这也意味着相同数量的人可能会成为牺牲品。生物识别数据处理中涉及的技术和流程的脆弱性和弱点。 为了评估风险，我们决定调查现在或将来依赖生物识别技术的已知用例。 在不久的将来依靠他们。我们还研究了生物识别技术使用的基础技术。用于识别和认证的系统。不幸的是，当多媒体内容发布时，许多 人们不知道此内容的敏感程度。当然，他们不知道电流和未来的这些内容暴露的风险。 本文的目的是强调用户需要了解的有关发布的要点 社交媒体上的内容，他们的敏感信息可能已经暴露或可能 仍然从他们发布的内容中暴露出来，以及这些内容的发布如何影响不仅仅是个人生活，以及使用或处理生物识别数据的组织的日常运营。 我们还描述了当前和即将发生的攻击场景，这些场景使用当今暴露的生物识别功能，以及行为数据。最后，我们就如何将与暴露相关的风险降至最低提供建议 和使用生物特征数据。 暴露的是什么? 本节重点介绍公开内容的类型和各种社交媒体平台，其中 内容公开。人们公开的功能要么是静态的，要么是动态的。静态特征可以是取自单个相框，可能足以暴露生物识别模式的恶意意图。 脸型，虹膜，视网膜，手掌和指纹是这些特征的例子。 动态功能需要更多时间才能捕获，因为它们经常在视频和语音中泄露录音。语音模式或人们表达情感的方式是动态特征的例子。 当人们观察人们的行为方式时，其中许多模式都会暴露出来，例如 人员在键盘上键入内容、浏览浏览器窗口、手写或签署文件。所有这些功能可用于身份验证和标识。 除了我们已经描述的众所周知的功能外，还有其他非生物识别的独特功能可用于识别或分类人员的功能。这些功能包括不可分离（或 几乎不可分离）特征，如胎记或纹身。同样，可拆卸的功能，如衣服和配件可用于分析社会地位，种族和年龄。网络犯罪分子甚至可以使用 在社交媒体上发布的设计师服装和配饰，如太阳镜，帽子和包包，以推出攻击的人上传这些内容。2 本节还介绍并突出显示了内容公开的上下文，因为并非所有内容都公开故意。例如，指纹经常暴露在有关如何烹饪微型的视频教程中 食物，而虹膜图案通常在与化妆相关的内容中暴露。这些类型的内容需要许多风险仍未得到解决，这使得在业主中传播意识至关重要， 媒体内容的生产者和主机，了解哪些情况会导致曝光风险。 十年前生物识别技术的意外暴露与暴露之间的巨大差异 现在是媒体内容的质量和分辨率。质量和分辨率显著提高， 这允许演员提取具有更高质量的特征，以进行生物识别注册和其他生物识别系统。 类型的内容 目前有三种类型的内容在社交媒体上很普遍：照片，视频和音频录音。但是，这里需要注意的是，元数据，描述，注释和 主题标签使此类媒体内容可搜索，从而可以更深入地了解其上下文暴露。媒体内容本身或其描述通常包括有关行为、情绪和 情绪，也可用于不同的攻击场景。 录音 通过发布我们的语音消息，我们将语音模式与我们的情绪，情绪和背景噪音。记录元数据还可以提供有关时间、位置和环境的见解录音。更重要的是，在不同环境中记录的这些不同模式的集合 可以帮助攻击者绕过基于质询-响应的安全系统。例如， system可以要求用户从给定列表中发音短语或随机短语进行身份验证，并且可以通过从暴露的录音中训练的模拟语音来绕过此要求。语音是当我们使用消息传递平台发送语音消息或共享包含 音频轨道。 照片和视频 在照片和视频内容中，我们的面部，视网膜，虹膜，耳朵形状图案，在某些情况下，我们的手掌和指纹暴露。 照片是静态的，这意味着它们在行为信息暴露方面受到限制，但它们经常 包含元数据、有关情绪的见解、时间、位置以及有关环境的详细信息。视频可以被视为通常包含音轨的一长串照片。结果，他们几乎暴露了 照片曝光的所有内容，仅在更大的范围内。视频还包括以语音形式公开的模式消息，但更详细的行为和环境数据除外。 三维模型 身体部位的3D模型不会以音频、照片或视频内容的比例显示。然而，所有提取这些3D模型细节的必要技术已经到位，使其成为可能 找到3d扫描的脸。3 社交媒体内容向元宇宙的过渡可能导致3D模型的大规模出现， 可以打印并可能用于欺骗生物识别传感器。4人们还将试图使他们的元宇宙化身更真实地表现了他们现实世界的自我。 图1.在电报上公开的具有生物识别功能的照片和视频6, 图片来源：化妆|化妆品和美容|的魔力化妆|化妆品/电报 7|今天泄露，终身利用：社交媒体生物识别模式如何影响您的未来 在不久的将来，随着监控的扩展，虚拟现实的扩大，增强现实和元宇宙现实相关技术，自主交付，使用面部识别的军用无人机，5和自动驾驶汽车能够捕获和消费生物识别技术以及其他类似技术，我们的身体和行为生物特征模式的暴露预计将会增加。 社会媒体平台暴露生物今天的内容? 在本节中，我们将研究不同媒体平台公开的内容类型。今天，敏感包含生物识别功能的内容定期在社交媒体上公开发布，并且 消息传递平台。还可以在企业和政府门户网站上找到敏感数据，高分辨率肖像照片和雇主访谈通常对任何人都可见。 消息传递平台 消息传递平台，如Viber，Telegram，和Whats最初用于对等通信，但它们现在已经变成了迎合群体互动的平台。其中许多内容 有意公开频道和群组，以吸引更广泛的受众。而数量 热门群组的参与者可以轻松覆盖数以万计的人，这是最受欢迎的频道可以达到数百万。除了文本帖子外，这些频道和组中的内容还共享在音频消息，照片和视频的形式，使这些内容的主要生物识别功能 敏感的提取。 社交网络 社交媒体网络，如脸书，V康塔克特和OK（在欧洲流行）支持各种多媒体内容。当然，这些内容包括人脸图片。虹膜图案、耳朵和 手掌形状，指纹，甚至语音模式通常也可以从这些内容中提取。要添加，广泛的环境信息，例如在特定时间访问过的地点或家庭环境 可以帮助地理定位和深入剖析一个人。值得注意的是，这些信息通常是可用的。并从暴露可抽出的内容。 具有恶意意图的个人或团体也可以进行简单的搜索以查找多媒体内容暴露生物识别功能。当在Facebook上进行“眼睛特写”搜索时，图2显示结果包括眼睛和虹膜图案的清晰曝光。 图2.脸书返回的“眼睛特写”结果 Instagram Instagram是一个视觉媒体驱动的平台，其中大部分内容都显示了个人的活动。个人资料的受欢迎程度是由关注者，内容视图，评论和其他形式的数量驱动的的参与。帖子包含主题标签，可用于推广和搜索类似内容。 人气的竞争促使个人资料所有者公开高质量的媒体内容，这些内容通常使用专业的照片，视频和照明设备。尽管如此，这些内容的提高也意味着 在暴露的情况下，它也更容易用于提取生物特征。 8|今天泄露，终身利用：社交媒体生物识别模式如何影响您的未来 图3显示了间接（非预期）耳形暴露，同时宣传视觉内容的示例使用主题标签#Earrings。我们讨论了有意和无意地暴露生物特征在以下部分中的这些类型的社交媒体内容上。 图3.Instagram上由标签返回的耳朵形状曝光示例#Earrings TikTok