IT资源栈近日,有安全研究员发布工具,成功绕过了 Discord、Twitch、Kick 和 Snapchat 等主流平台的年龄验证系统。该漏洞针对的是平台采用的第三方验证商 k-id。出于隐私保护,k-id 仅发送面部识别的元数据而非视频流,但这反而成为了弱点。研究员通过逆向工程,成功复现了其 AES-GCM 加密过程及验证预测数据,使得攻击者无需真人扫描,仅需伪造特定的元数据请求即可将账号标记为“已成年”。此次漏洞曝光恰逢 Discord 计划在 3 月全球推广强制验证之际,暴露了当前基于客户端元数据的生物识别验证机制的严重脆弱性。
原文链接:Hacker News
评论前必须登录!
立即登录 注册