近日，中国信通院云大所依托“护脸计划”顺利召开“移动端多模态技术沙龙暨评估规范研讨会”，围绕多模态生物特征识别技术的应用风险、安全合规、发展趋势等开展主题分享和交流，为进一步推动相关技术在各领域场景的深度应用，探索建立完善的标准体系和技术要求提供启发和决策参考。梆梆安全研发中心总监张智受邀发表《移动应用场景下多模态数据的攻击与防护》主题演讲，分享梆梆安全在移动端多模态技术领域的创新实践和防护方案，助力探索除人脸识别技术以外的生物特性识别技术应用的可信范式。

一、多模态数据在移动应用场景中的四层泄漏

近年来，基于生物识别的个人身份验证技术被广泛应用在金融、公安、交通、健康等领域，越来越多的移动应用和智能终端搭载多模态生物识别技术提升用户体验。然而，移动应用场景下存在应用泄露、系统泄露、内核泄漏、物理泄露等四层泄漏点，指纹、人脸等生物特征信息频频泄露，使得个人隐私风险、移动应用安全风险成为群众关心的热点问题之一。

攻击场景分析如下：

应用泄露

利用内存Hook技术，攻击App内相关代码
篡改系统API调用结果
篡改活体检测函数、随机变量
篡改加密、解密数据
篡改网络请求函数

系统泄露

修改HAL接口，劫持系统获取的原始数据
使用Magisk、Riru、Xposed等注入框架注入Camera Service，篡改系统获取的生物源数据
定制ROM，加入高权限APP管理代篡改的生物数据

内核泄露

定制Android ROM，使用自编写的音频、摄像头等设备的驱动直接填入数据（V4L2）
基于Android GKI 劫持设备驱动获取的数据

物理泄露

‍‍购买带音视频篡改功能的安卓设备，直接录播
通过照片利用3D打印机打印人皮面具
高保真音频采样/播放系统‍‍‍‍‍‍‍‍‍

二、移动应用场景中的多模态数据安全防护方案

张智通过分享梆梆安全“移动应用安全监测平台发现高频登录账号安全事件——从终端环境到网络行为实行安全监测——发现薅羊毛等移动端风险行为——利用API安全平台完成风险监控闭环验证”的创新案例，向参会代表提出多模态综合身份验证时风险防范建议：一方面移动应用除需要具备漏洞修复、应用加固、代码混淆、动态调试等基础安全防护能力外，另一方面需针对APP前端可信建立长效的监测防御机制，及时发现前端传输、应用、系统、ROM等各层面的安全风险，最后还需构建端到端的全渠道API安全防御思路，将APP侧的风险情报同步至轻应用侧进行联防联控，增强风险的监测、预警、处置、溯源能力，实现端到端的风险联动防御。

梆梆安全基于现阶段的企业移动应用侧安全现状和国家持续加大的监管趋势，结合移动应用终端安全接入具体需求和自身技术积累，已构建覆盖软件生命周期全流程的闭环安全能力，涵盖从底层代码加固、测评检查、运行安全监测到最后安全运营的全套解决方案，完成移动应用安全保障体系的建设。

作为移动应用安全蓝海市场的开创者，目前梆梆安全已经拥有10万家以上企业及开发者用户，安全技术覆盖的移动应用软件超过100万，这些应用已经累计安装在10亿个移动终端上，用户遍及金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业。

自中国信息通信研究院云计算与大数据研究所发起“可信人脸应用守护计划”以来，梆梆安全围绕多模态技术参与多项标准制定、测试评估、生态建设等工作，持续开展技术攻关工作，助力多项突破性成果形成。为更好规范多模态行业，促进技术和产业的健康有序发展，未来，梆梆安全将持续洞察行业技术发展趋势，强化理论研究，推进标准制定，完善评测评估和咨询服务能力，与中国信息通信研究院一道，构建共治、共赢、共享的网络安全生态。