90后女黑客秒破人臉識別，之前黑了4款共享單車App

1024程序員日，

科大訊飛搞了個大事，

砸10.24個億，豪賭人工智能。

而一群白帽黑客聚集在上海，

對智能生活可能存在的一切漏洞發(fā)起挑戰(zhàn)。

一個能影響iPhone 8，

以及更早期型號iPhone的漏洞首次曝光；

浙大畢業(yè)的90后女黑客，

2分半鐘遠(yuǎn)程破解了人臉識別門禁，

此前她曾找到了4款共享單車App的漏洞。

iPhone8上市以來

首次發(fā)現(xiàn)重大安全漏洞？

先來科普一下什么是白帽黑客。指的是那些用自己的黑客技術(shù)做好事的黑客，測試網(wǎng)絡(luò)和系統(tǒng)的性能來判定它們能否承受入侵，以及可承受的強弱程度（此句來自度娘）。

在今天舉行的國際極客安全大賽（GeekPwn）上，來自長亭科技團隊的安全研究員“slipper@0ops”，現(xiàn)場演示iPhone 8的破解操作。

利用iPhone 8的巨大安全漏洞，黑客能夠遠(yuǎn)程操控手機，獲得手機的最高權(quán)限，實現(xiàn)讀取用戶信息、盜取照片，并在手機上自由安裝App等操作。

在Slipper演示操作前，主持人黃健翔現(xiàn)場打開了一部全新未拆封的黑色iPhone 8， 用這部新機掃描選手提供的二維碼。

接著，主持人在白色提示板上寫下一串?dāng)?shù)字，然后用手機自拍和數(shù)字合影。

攻破iPhone 8的參賽選手Slipper（左）

20分鐘內(nèi)，Slipper在禁止觸碰手機和連接調(diào)試線的情況下，利用遠(yuǎn)程攻擊獲得iPhone 8的Root shell，成功竊取手機中的照片，并報出提示板上的數(shù)字。

為了證明已獲得該部手機的最高權(quán)限，他還在破解過程中，往手機里裝了GeekPwn的同名App。

這或許是iPhone8上市以來，首次被發(fā)現(xiàn)重大的安全漏洞。

目前，蘋果公司還未對此做出回應(yīng)。

據(jù)選手透露，此次發(fā)現(xiàn)的漏洞能影響從iPhone6到iPhone8，甚至更早期型號的iPhone用戶。他選擇不提交漏洞給GeekPwn組委會，以做更多的后續(xù)研究。

人臉識別很安全？

任意人臉都能通過門禁系統(tǒng)

今年5月，2017國際安全極客安全大賽極棒年中賽上，Tyy，從浙江大學(xué)計算機專業(yè)畢業(yè)不到兩年的大學(xué)生，僅用了1分鐘，就輕松破解小鳴單車、永安行、享騎和百拜等4款共享單車App的漏洞，直接獲取用戶的個人資料，并現(xiàn)場演示如何遠(yuǎn)程連線，利用他人賬戶，實現(xiàn)開鎖、騎行的過程。

年中賽上

今天的這場極棒大賽，Tyy又來了。

這一次，她用了2分半的時間，通過網(wǎng)絡(luò)遠(yuǎn)程攻擊漢王人臉識別門禁，利用門禁設(shè)備的漏洞成功實現(xiàn)在未設(shè)置情況下，刷臉通過門禁。

Tyy

Tyy表示，利用設(shè)備漏洞，攻擊者可以直接修改設(shè)備中的人臉細(xì)信息，實現(xiàn)用任意人臉來“蒙騙”人臉識別系統(tǒng)，打開門禁。

黑客能夠欺騙并通過“聲紋鎖”的驗證

通過一段合成的語音，你的聲音竟然能被機器“偷走”？ 

在“AI仿聲驗聲攻防賽”的挑戰(zhàn)環(huán)節(jié)中，“maxmon”“SmartParrot”“有點意思”“神牛gogo”，以及來自清華大學(xué)的“清晨李唐王”等五組選手釋放腦洞，化身語音合成“機械師”，共同向聲紋驗證系統(tǒng)發(fā)起挑戰(zhàn)。

“清晨李唐王”成功破解三個聲紋驗證設(shè)備獲得第一名。

黑客讓“芝麻開門”變成“西瓜開門”

聲紋識別逐漸成為未來生物識別的主流，而聲紋鑒定已成為刑事司法中有效證據(jù)。但這種安全保護形勢是否真的安全可靠？

在GeekPwn2017的現(xiàn)場，選手表示，依托生物特征的識別系統(tǒng)更容易遭到黑客的攻擊。針對聲紋識別的攻擊已經(jīng)成為新的安全威脅。

五組選手根據(jù)《王者榮耀》英雄人物——妲己的配音者所提供的聲音樣本，模擬了其聲紋特征，合成一段“攻擊”語音，對現(xiàn)場提供的四個具有聲紋識別功能的設(shè)備發(fā)起攻擊，欺騙并通過“聲紋鎖”的驗證。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。