2 月 23 日,国家互联网应急中心(以下简称“CNCERT”)主办的国家信息安全漏洞共享平台(以下简称“CNVD”)2021 年度工作会议在线成功召开,会议对 CNVD 2021年工作进行了总结并对优秀单位进行了表彰。我实验室此前报送的人脸识别重大基础漏洞荣获“2021年度最具价值漏洞奖”。
根据工作会议数据,2021 年 CNVD 漏洞库共收录通用和事件型漏洞约 28 万条,最终评选出 10 个最具价值漏洞,获奖单位包括安恒信息、360安全、绿盟科技、腾讯玄武、天马实验室和深信服等行业界知名单位,我实验室在所有获奖单位中排名第一。
CVND 2021年度最具价值漏洞(数据来源:CVND 2021年工作会议)
我实验室报送的漏洞为移动应用中人脸识别系统相关的重大基础安全漏洞,可以造成海量国家基础设施数据、国民基础隐私数据泄露和金融损失,且影响范围广,涵盖国内各大知名人脸识别 SDK 厂商,近乎涵盖国内所有智能手机用户。
实验室研究团队发现漏洞后,主动及时上报 CNVD,并积极配合 CNCERT 对漏洞进行排查并提供修改意见,切实保证该漏洞被控制在最小影响范围内,提升了移动系统生物认证的安全性,获得了中央网信办、上海市网信办的致谢与肯定。
漏洞主要研究成员包括张晓寒、叶浩祺、黄子奇、汪扬、卢苇、叶啸等师生。