GeekPwn2018上演智能設(shè)備多重危機(jī)預(yù)警

毫無察覺的情況下，手機(jī)的指紋解鎖竟遭遇“秒破功”? 手機(jī)的私密相冊(cè)任由他人隨意翻閱?指紋加密U盤里的機(jī)密文件被輕易讀取?智能時(shí)代，涉及個(gè)人隱私保護(hù)的多個(gè)威脅演示發(fā)生在10月24日-25日，GeekPwn2018國(guó)際安全極客大賽上。來自世界各地的安全研究員、白帽黑客、安全大牛們，組成黑客界“最強(qiáng)大腦”團(tuán)隊(duì)，現(xiàn)場(chǎng)以生動(dòng)形象的破解挑戰(zhàn)演示，提醒各位用戶：生活中我們賴以保護(hù)重要隱私的常用智能設(shè)備其實(shí)并不安全。

時(shí)至今日，智能化技術(shù)的集大成者——手機(jī)，因能夠承載起人們生活所需的大部分功能與重要信息，已然成為每個(gè)現(xiàn)代人最必不可少且不可侵犯之物。正是如此，手機(jī)淪為廣大不法分子心中最重要的“獵物”。白帽黑客們經(jīng)過縝密研究，在GeekPwn2018現(xiàn)場(chǎng)對(duì)不同智能設(shè)備及應(yīng)用場(chǎng)景的安全威脅進(jìn)行了還原。自2014年創(chuàng)辦以來，極棒帶來了許多關(guān)于智能設(shè)備的破解展示，向廠商提交了上百個(gè)漏洞，也讓更多人關(guān)注到智能生活中安全問題的重要性和必要性。

如今，誰(shuí)的手機(jī)相冊(cè)里面，沒有點(diǎn)不能與人分享的小秘密?把自己的隱私鎖進(jìn)手機(jī)加密相冊(cè)確保其萬(wàn)無一失，想必已成為大家的常規(guī)操作。然而，就算私密相冊(cè)的密碼和圓周率一樣長(zhǎng)，像摩斯密碼一樣復(fù)雜，也擋不住一個(gè)手機(jī)系統(tǒng)的低級(jí)錯(cuò)誤，讓你明天就在某些暗網(wǎng)上聲名鵲起。在GeekPwn2018的現(xiàn)場(chǎng)，AMC團(tuán)隊(duì)在觀眾和特邀主持人蔣昌建老師的配合下，成功完成手機(jī)私密相冊(cè)的破解挑戰(zhàn)。據(jù)悉，他們是利用手機(jī)操作系統(tǒng)的漏洞，通過在手機(jī)中安裝一個(gè)惡意APP，可以用高權(quán)限調(diào)用其他組件，從而繞過私密相冊(cè)的身份驗(yàn)證。對(duì)此選手解釋到，這種破解是基于手機(jī)操作系統(tǒng)存在的漏洞，與密碼無關(guān)。

　　現(xiàn)場(chǎng)觀眾與蔣昌建老師合影留下“私密照片”

作為今年上半年安卓手機(jī)的重大技術(shù)突破，屏下指紋解鎖號(hào)稱以光感指紋識(shí)別真正實(shí)現(xiàn)秒解鎖，捕獲了許多年輕人的喜愛。但追求極致體驗(yàn)的同時(shí)，大家更在意它的安全性。“指紋解鎖”一直被詬病的安全問題是否能在這次得到質(zhì)的改變?GeekPwn 2018現(xiàn)場(chǎng)，騰訊安全玄武實(shí)驗(yàn)室首度演示了影響觸屏解鎖型安卓設(shè)備的“殘跡重用”漏洞——安全研究員通過一張普通的卡片，可以讓任何人對(duì)手機(jī)的屏下指紋進(jìn)行解鎖。目前的屏下指紋解鎖功能是利用光學(xué)技術(shù)捕捉用戶的指紋影像，通過反射體欺騙的方法，可以利用屏幕上殘存的指紋痕跡，讓屏下指紋傳感器認(rèn)為手機(jī)的主人正在使用指紋驗(yàn)證。

據(jù)悉，該漏洞屬于屏下指紋技術(shù)設(shè)計(jì)層面的問題，會(huì)幾乎無差別地影響所有使用屏下指紋技術(shù)的設(shè)備。騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)同時(shí)也表示，用戶無需太過擔(dān)心，騰訊安全玄武實(shí)驗(yàn)室早在今年初就開始和國(guó)內(nèi)幾家主流手機(jī)廠商合作，不僅通過更新算法修復(fù)了已上市手機(jī)中的漏洞，還將相關(guān)解決方案提交給芯片廠商，推動(dòng)了供應(yīng)鏈層面的安全修復(fù)。

　　蔣昌建配合選手完成手機(jī)屏下指紋項(xiàng)目的破解挑戰(zhàn)

另一個(gè)在GeekPwn 2018現(xiàn)場(chǎng)被擊垮的智能設(shè)備，來自于我們?cè)诠ぷ髦惺褂妙l率頗高的U盤。U盤丟失是小事，但里邊的數(shù)據(jù)泄露可能就要令你失去工作。在如今對(duì)信息安全的強(qiáng)烈需求下，市場(chǎng)上大批指紋加密U盤面世。但即便是采用唯一“身份 ID”指紋解鎖，加上軍事級(jí)256 位 AES 加密技術(shù)的指紋加密U盤，也逃不過被Pwn的宿命。來自湖南長(zhǎng)沙的伏宸安全實(shí)驗(yàn)室團(tuán)隊(duì)在沒有破壞存儲(chǔ)和主控芯片的情況下，移除原有的指紋識(shí)別模塊，通過自制的偽造指紋模塊設(shè)備，利用數(shù)學(xué)模型，計(jì)算出關(guān)鍵數(shù)據(jù)，成功實(shí)現(xiàn)破解?？此?ldquo;密不透風(fēng)”的加密系統(tǒng)也無法保證數(shù)據(jù)的萬(wàn)無一失。

　　選手通過物理手段完成指紋加密U盤項(xiàng)目的破解挑戰(zhàn)

除此之外，還有利用AI欺騙AI的“CAAD對(duì)抗樣本攻防挑戰(zhàn)賽”、利用AI“腦補(bǔ)”還原照片打碼的“GAN掉馬賽克挑戰(zhàn)賽”、利用AI還原脫敏數(shù)據(jù)的“數(shù)據(jù)追蹤挑戰(zhàn)賽”等多個(gè)腦洞大開的破解項(xiàng)目都在GeekPwn2018現(xiàn)場(chǎng)輪番上演，數(shù)十位國(guó)內(nèi)外頂級(jí)白帽黑客同場(chǎng)炫技，帶來眾多腦洞大開的破解演示。

作為全球首個(gè)探索人工智能與專業(yè)安全的前沿平臺(tái)，GeekPwn 2018以“人‘攻’智能，洞見未來”為主題，旨在通過集結(jié)最強(qiáng)黑客戰(zhàn)隊(duì)，預(yù)演智能設(shè)備及人工智能領(lǐng)域潛在的安全問題，探索智能生活的安全之道，助力人們可以更安全地享受智能生活。

碁震KEEN公司CEO，GeekPwn發(fā)起創(chuàng)辦人王琦表示，人“攻”智能并不是目的，我們希望通過危機(jī)的提前預(yù)警，讓廠商們?nèi)バ扪a(bǔ)并升級(jí)設(shè)備，最終讓更多的人可以享受智能生活，享受未來。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。