这是我偶然发现的片段,他的名字叫 Lekan,但有人在 Tinder 上用假名“Nathan”创建了一个假账户,你可以看到个人资料已经过验证,他只是在评论部分标记了 Tinder,但 Tinder 还没有回复,我滚动浏览评论,想看看答案,但每个人都在质疑,他是如何被验证的?就在那时,我开始研究绕过人脸认证的方法,特别是在约会平台上。
你可能知道,每个知名组织都有自己的网络域名,如果你在他们的网站或应用程序或 API 中发现任何漏洞,他们会给你一大笔钱作为奖励,那么现在如果你举报了这个特定的人脸认证,你能得到多少钱呢?这个 Tinder 组织有一个名为 Bug Bounty 的平台,由 Hackerone 管理,根据漏洞的优先级和严重程度,你会得到报酬,这个漏洞属于 P1 和 S1(严重),所以你会因为这个特定的漏洞得到 20,000 美元,屏幕截图的证明附在下面。
作为一名安全研究员,我的怀疑分为三类。
API 渗透测试。
通过逻辑缺陷绕过。
DeepFake AI/深度学习概念。
第一种方法是测试整个应用程序及其 API 端点,这是白帽黑客开始行动的地方,他们测试整个应用程序,他们会发现缺陷并绕过它,如果它是合法报告的并且你提供了完整的证据,你就会得到报酬。这被称为漏洞赏金,使用 burp suite 代理工具并通过处理请求和响应可以绕过它。
第二种方法是通过逻辑缺陷,渗透测试过程中有很多方法,我最喜欢的是通过逻辑缺陷,在我的网络安全之旅中,我仅通过一些愚蠢的逻辑就绕过了一个组织的指纹认证,想象一下像 WhatsApp 这样的应用程序,我创建了一个群组,并打开了指纹认证,当我从另一部手机拨打电话时,它应该首先要求进行指纹认证,但在这种情况下,它并没有发生,说话后当你挂断电话时,它应该要求进行指纹认证,但在我的情况下,当我挂断电话时,它将我重定向到那个特定的群聊,没有任何身份验证。这可能听起来很愚蠢,但这就是业务逻辑缺陷的工作方式。我怀疑这也可能是绕过 Tinder 人脸认证的情况,使用一些业务逻辑缺陷可以绕过人脸认证。
这可能是每个人都担心的问题,使用 deepfake AI 这可能是可能的,而且我对此类别的怀疑过高,正如你在许多卷轴中看到的那样,人们过去常常创建深度伪造的视频,作为一个普通人观看这个可能看起来很有趣,但从安全研究人员的角度来看,这看起来有些危险,说到 deep FakeAI,这实际上在 2022 年被一个安全团队绕过了,一个安全团队使用一种名为StarGANv2 的机器学习/深度学习概念绕过了 tinder 和 bumble 人脸身份验证,它通常是图像到图像的翻译模型,这里训练了 1000 个模型,他们使用不同的皮肤类型、头发和脸型训练不同的模型,既有男性也有女性,输出通过一些计算来表达。使用这个,他们绕过了 tinder 和 bumble,更有趣的是,他们同时绕过了男性和女性角色。为了更清楚起见,我在下面附上了博客链接。
以上所有绕过方法都只是我的建议,也可能以不同的方式被利用,但我最常怀疑的是这个 Deepfake AI,在 Tinder 调查之前,我无法说出它被利用的具体方法。祈祷这个 Deepfake AI 比你想象的更危险,在社交媒体上发布自己的照片时要小心,你也可能成为下一个互联网受害者