一、APP人脸识别应用安全性检测背景介绍

人脸识别技术的广泛应用，使得金融、互联网、支付、公共安全等领域的APP可以很好地解决用户认证、个人信息获取、业务风控识别等问题。APP人脸识别技术在提高业务体验便捷性的同时，也带来了诸如认证机制绕开、数据泄露和个人隐私合规等安全风险。

当前，使用人脸识别的App主要面临着缺乏数据安全保障机制、人脸识别技术应用不规范以及人脸深度伪造技术的问题，网信、公安等监管部门已持续开展对人脸识别安全的监督检查，推动人脸识别技术应用的安全性。

二、APP人脸识别应用安全性测试

APP人脸识别安全检测是参照国内外权威安全评估标准和监管部门的安全法规要求，对APP人脸识别技术处理流程的安全性进行测试，包括采集、传输、存储、环境、活体识别、安全策略等，提高APP人脸识别技术的安全合规能力，降低人脸识别技术应用的安全风险，从而保障APP业务及敏感数据的安全。

三、APP人脸识别应用安全性检测检查内容

1.收集安全测试。

包括ROM注入的风险检测，注入攻击检测，客户端、服务器端在采集前应进行双向识别。

2.传输安全检查。

数据明文传递风险，检测是否使用加密协议对人脸数据进行加密；数据劫持的风险，检测数据是否具有防劫持功能；数据完整性验证，检测人脸数据是否完整。

3.安全检测数据储存。

本地存储数据泄漏风险，检测是否在手机本地存储人脸数据；内存敏感数据明文泄露的风险，检测手机内存中是否有明文人脸数据；内存敏感数据没有及时销毁风险，检测人脸验证完成后是否将内存中的数据销毁。

4.环境安全检查。

Root环境运行风险，以检测App程序能否在Root的手机设备下运行；网络代理检测，检测App是否能检测网络代理风险；摄像头劫持风险，检测App是否能检测并防止摄像头劫持行为；客户端是否有篡改功能，检测App是否有摄像头劫持行为；

5.活体鉴定安全检验。

安全策略，多次识别失败后，禁止识别系统；视频攻击，检测APP是否能检测或防止使用电子设备屏幕重放视频攻击行为；检测APP是否可以检测或防止用劫持摄像头替换视频攻击行为；主动配合检测App是否能够检测或防止通过劫持摄像头替换视频攻击行为；主动配合检测APP是否支持检测主体的主动式反应；视频应用是否支持检测主体的主动式反应，进行活体人脸检测，检测APP是否能够检测或防止人脸假体面具的攻击行为；

四、APP人脸识别应用安全性检测部分测试的示例

1、人脸假体面具的仿冒验证绕过测试。

2D彩色照片的校验绕过测试。

3、电子屏幕照片验证不能通过测试。

4、确认绕过测试成功界面。