随着活体检测技术在身份验证、金融交易等关键领域被广泛应用,而由此引发的虚拟视频注入攻击手段开始泛滥,严重的更是直接对用户的个人隐私、财产安全,甚至企业运营构成严重威胁。
如何做好攻击技术手段剖析、检测手段升级已成为网络安全领域的紧迫任务。
1.多种方式,摄像头劫持
■ Xposed 插件 + 摄像头劫持
Xposed 框架为安卓系统提供了强大的 Hook 能力,黑灰产团伙通过在 Java 层劫持摄像头相关 API 后,再编写 Xposed 插件,以此实现在 APP 调用摄像头打开函数时进行拦截。
如代码所示,当检测到特定条件时,平台会将本地预设视频(如 “virtual.mp4”)或 RTMP 推流视频替换为摄像头的正常数据输入。攻击者通过配置界面灵活选择视频源,实现实时替换人脸,整个过程操作简便,对技术能力要求相对较低。
■ 双开软件 + 摄像头劫持
双开软件是指在框架层扮演代理角色,修改打开相机的本地服务。
以社交平台为例,攻击者利用双开软件,将自己的摄像头数据替换为一段预先录制好的视频,再与受害者视频通话过程中,受害者看到的是攻击者精心准备的视频画面,而非其真实面貌。
攻击者借此在视频通话中获取受害者信任,进而实施诈骗,诱导受害者转账,造成了严重的财产损失。
■ 注入 cameraserver+binder 通信 + 摄像头劫持
该种攻击方式,主要通过深入相机服务的 server 端,借助复杂的命令操作实现。攻击者先将恶意的动态链接库(如 “libhookProxy.so”)注入 “cameraserver” 进程,修改服务接口,使摄像头数据流向被操控。
当然,为保证恶意程序正常运行,攻击者还需调整 SELinux 的强制访问控制模式,整个过程涉及 root 权限获取、进程注入和系统配置修改,技术门槛较高,但攻击效果显著,难以检测。
■ 定制 ROM + 摄像头劫持
定制 ROM 攻击是直接在 Android 系统层植入恶意代码。具体是,攻击者在 Camera 的 Java 层和 Native 层关键函数执行过程中,如 “Camera.open” 和 “Camera.native_setup”,构造恶意模块,改写系统源代码。
这一攻击方式从底层破坏了摄像头数据的正常采集流程,将视频文件解码后替换为正常拍摄内容,由于是对系统本身的篡改,检测难度极大。
■ 云手机虚拟摄像头
该类攻击方式是攻击者借由云手机通过虚拟化技术模拟 Android/iOS 系统,通常本身不带摄像头。攻击者利用虚拟相机设备拉流,将正常手机采集的视频数据通过 RTMP 推流到云手机,再由云手机播放并提供给目标 APP。
比如一些主播通过将预先录制好的高质量视频推流到云手机,再由云手机将视频作为摄像头数据提供给直播平台。观众看到的主播直播画面极为完美,与实际情况不符,但平台的常规检测手段未能识别出这种作弊行为,导致平台的直播生态受到破坏,影响了其他正常主播的利益和观众的观看体验。
2.攻击对抗,难点重重
不同攻击手段对应的检测点和难度各有不同,比如 Xposed 插件和双开软件攻击可通过检测 Hook 框架和系统函数 Hook 来发现,但攻击者会不断更新技术逃避检测。
而注入 cameraserver 攻击涉及 root 权限、恶意软件和注入框架,防护者检测需要综合多种技术,以应对复杂的攻防策略,在防护上难度更高。
此外,定制 ROM 攻击需识别特定的恶意 ROM 特征,云手机攻击需精准识别云手机设备,二者都会因为攻击的底层性和隐蔽性导致检测难度高不下。
3.网易易盾,助力AI人脸识别
面对严峻的攻击形势,多维度的防范策略显得至关重要。
网易易盾建议开发者应采用先进的防 Hook 技术,如代码混淆、加密敏感代码等,增加攻击者 Hook 的难度。
其次,开发者还需要通过定期的代码安全审计,以此及时发现潜在漏洞。比如系统层面,加强 SELinux 等安全模块的配置,严格限制进程权限,阻止恶意代码注入。
再者,对于应用系统,开发者需要及时更新系统和设备驱动,修复已知漏洞。比如引入人工智能和机器学习技术,分析摄像头数据的特征、行为模式,以及检测视频的帧率变化、图像质量差异等异常数据,以提升检测的准确性和效率。
当前,黑灰产虚拟视频注入攻击已经由静态向动态演变进化,对于软件开发者而言,需要对安全防护进行持续的升级。
只有通过深入研究攻击技术、完善检测手段和卓有成效的防范措施,多方协作,才能在这场安全博弈中守护数字世界的安全与稳定,保障用户的合法权益和企业自身的安全运营。