刘教授说：「几年前我们发现人脸识别技术在中国大陆和香港的使用率快速增长，我们不禁要问︰『它真的安全吗？』事实上，任何新技术都难以保证百分百安全，它总会存在一些漏洞和风险。」

「问题在于SDK的用户通常是应用程序的拥有者，他们往往会外判开发工作，而负责开发程序的外判人员未必会处理保安漏洞。」

为了提高系统安全性，研究团队在论文中提出多项建议︰使用人脸识别系统的机构应尽可能在云端验证人脸识别信息，应以多重方法加强保护程序及客户端，并对相关数据进行适当加密。

刘教授指他们已把所发现的安全漏洞通知这些供货商，部分公司感谢团队的信息，但有些公司却采取极回避态度，甚至完全没有响应。

「很多时候当我们联络软件供货商后，愿意修正漏洞的公司仅低调处理，不作任何发布。而且就算他们将SDK升级了，那些应用程序仍经不起考验。黑客只要找到仍在运行的旧版本应用程序，就能攻击这些漏洞。更谨慎的做法是像银行或金融业应用程序那样，在SDK升级后强制所有用户更新应用程序，以策安全。」

Wi-Fi及VPN设置存风险 用户密码易被盗

由周思骁教授领导的另一队研究团队发现，不少企业级Wi-Fi和VPN服务也存在安全隐患，用户被迫采用不安全的设置，令人担忧。团队分析了世界各地2,000多所高等院校和学术机构的7,000多份Wi-Fi用户手册，发现86%的院校或机构有至少一项操作系统指示用户采用不安全的Wi-Fi设定，让黑客利用低于100美元的装备，在不到一小时内设置伪冒Wi-Fi攻击，从而盗取用户密码。他们亦测试了132个VPN前端应用程序，其中63个找到容许黑客窃取密码的严重漏洞。

「当我们谈到『身份验证』时，多数人想到的是用户身份验证，比如使用用户名和密码登录网络。然而为了防止攻击者冒充服务器窃取登入数据，服务器认证也非常重要。许多企业级网络Wi-Fi和VPN都需要客户端验证服务器证书，但我们却发现很多大学的信息科技管理员并没有指示用户应验证服务器是否可信赖。」周教授说。