90后女黑客秒破人臉識(shí)別，之前黑了4款共享單車(chē)App

1024程序員日，

科大訊飛搞了個(gè)大事，

砸10.24個(gè)億，豪賭人工智能。

而一群白帽黑客聚集在上海，

對(duì)智能生活可能存在的一切漏洞發(fā)起挑戰(zhàn)。

一個(gè)能影響iPhone 8，

以及更早期型號(hào)iPhone的漏洞首次曝光；

浙大畢業(yè)的90后女黑客，

2分半鐘遠(yuǎn)程破解了人臉識(shí)別門(mén)禁，

此前她曾找到了4款共享單車(chē)App的漏洞。

iPhone8上市以來(lái)

首次發(fā)現(xiàn)重大安全漏洞？

先來(lái)科普一下什么是白帽黑客。指的是那些用自己的黑客技術(shù)做好事的黑客，測(cè)試網(wǎng)絡(luò)和系統(tǒng)的性能來(lái)判定它們能否承受入侵，以及可承受的強(qiáng)弱程度（此句來(lái)自度娘）。

在今天舉行的國(guó)際極客安全大賽（GeekPwn）上，來(lái)自長(zhǎng)亭科技團(tuán)隊(duì)的安全研究員“slipper@0ops”，現(xiàn)場(chǎng)演示iPhone 8的破解操作。

利用iPhone 8的巨大安全漏洞，黑客能夠遠(yuǎn)程操控手機(jī)，獲得手機(jī)的最高權(quán)限，實(shí)現(xiàn)讀取用戶(hù)信息、盜取照片，并在手機(jī)上自由安裝App等操作。

在Slipper演示操作前，主持人黃健翔現(xiàn)場(chǎng)打開(kāi)了一部全新未拆封的黑色iPhone 8， 用這部新機(jī)掃描選手提供的二維碼。

接著，主持人在白色提示板上寫(xiě)下一串?dāng)?shù)字，然后用手機(jī)自拍和數(shù)字合影。

攻破iPhone 8的參賽選手Slipper（左）

20分鐘內(nèi)，Slipper在禁止觸碰手機(jī)和連接調(diào)試線(xiàn)的情況下，利用遠(yuǎn)程攻擊獲得iPhone 8的Root shell，成功竊取手機(jī)中的照片，并報(bào)出提示板上的數(shù)字。

為了證明已獲得該部手機(jī)的最高權(quán)限，他還在破解過(guò)程中，往手機(jī)里裝了GeekPwn的同名App。

這或許是iPhone8上市以來(lái)，首次被發(fā)現(xiàn)重大的安全漏洞。

目前，蘋(píng)果公司還未對(duì)此做出回應(yīng)。

據(jù)選手透露，此次發(fā)現(xiàn)的漏洞能影響從iPhone6到iPhone8，甚至更早期型號(hào)的iPhone用戶(hù)。他選擇不提交漏洞給GeekPwn組委會(huì)，以做更多的后續(xù)研究。

人臉識(shí)別很安全？

任意人臉都能通過(guò)門(mén)禁系統(tǒng)

今年5月，2017國(guó)際安全極客安全大賽極棒年中賽上，Tyy，從浙江大學(xué)計(jì)算機(jī)專(zhuān)業(yè)畢業(yè)不到兩年的大學(xué)生，僅用了1分鐘，就輕松破解小鳴單車(chē)、永安行、享騎和百拜等4款共享單車(chē)App的漏洞，直接獲取用戶(hù)的個(gè)人資料，并現(xiàn)場(chǎng)演示如何遠(yuǎn)程連線(xiàn)，利用他人賬戶(hù)，實(shí)現(xiàn)開(kāi)鎖、騎行的過(guò)程。

年中賽上

今天的這場(chǎng)極棒大賽，Tyy又來(lái)了。

這一次，她用了2分半的時(shí)間，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程攻擊漢王人臉識(shí)別門(mén)禁，利用門(mén)禁設(shè)備的漏洞成功實(shí)現(xiàn)在未設(shè)置情況下，刷臉通過(guò)門(mén)禁。

Tyy

Tyy表示，利用設(shè)備漏洞，攻擊者可以直接修改設(shè)備中的人臉細(xì)信息，實(shí)現(xiàn)用任意人臉來(lái)“蒙騙”人臉識(shí)別系統(tǒng)，打開(kāi)門(mén)禁。

黑客能夠欺騙并通過(guò)“聲紋鎖”的驗(yàn)證

通過(guò)一段合成的語(yǔ)音，你的聲音竟然能被機(jī)器“偷走”？ 

在“AI仿聲驗(yàn)聲攻防賽”的挑戰(zhàn)環(huán)節(jié)中，“maxmon”“SmartParrot”“有點(diǎn)意思”“神牛gogo”，以及來(lái)自清華大學(xué)的“清晨李唐王”等五組選手釋放腦洞，化身語(yǔ)音合成“機(jī)械師”，共同向聲紋驗(yàn)證系統(tǒng)發(fā)起挑戰(zhàn)。

“清晨李唐王”成功破解三個(gè)聲紋驗(yàn)證設(shè)備獲得第一名。

黑客讓“芝麻開(kāi)門(mén)”變成“西瓜開(kāi)門(mén)”

聲紋識(shí)別逐漸成為未來(lái)生物識(shí)別的主流，而聲紋鑒定已成為刑事司法中有效證據(jù)。但這種安全保護(hù)形勢(shì)是否真的安全可靠？

在GeekPwn2017的現(xiàn)場(chǎng)，選手表示，依托生物特征的識(shí)別系統(tǒng)更容易遭到黑客的攻擊。針對(duì)聲紋識(shí)別的攻擊已經(jīng)成為新的安全威脅。

五組選手根據(jù)《王者榮耀》英雄人物——妲己的配音者所提供的聲音樣本，模擬了其聲紋特征，合成一段“攻擊”語(yǔ)音，對(duì)現(xiàn)場(chǎng)提供的四個(gè)具有聲紋識(shí)別功能的設(shè)備發(fā)起攻擊，欺騙并通過(guò)“聲紋鎖”的驗(yàn)證。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。