昨天是 1024 程序員日。在 IT 行業,1024 是個神奇的數字,它是 2 的 10 次方,二進制的基本計量單位之一,比如 1MB=1024KB,1GB=1024MB。對於每天都要和二進制打交道的程序員來說,把 10 月 24 日定為程序員日,實至名歸。
昨天,一群白帽黑客聚集在上海,對智能生活可能存在的一切漏洞發起挑戰。
一個能影響 iPhone 8,以及更早期型號 iPhone 的漏洞首次曝光;浙大畢業的 90 後女黑客,2 分半鐘遠程破解瞭人臉識別門禁,此前她曾找到瞭 4 款共享單車 App 的漏洞。
iPhone8 上市以來
首次發現重大安全漏洞?
先來科普一下什麼是白帽黑客。指的是那些用自己的黑客技術做好事的黑客,測試網絡和系統的性能來判定它們能否承受入侵,以及可承受的強弱程度(此句來自度娘)。
在昨天舉行的國際極客安全大賽(GeekPwn)上,來自長亭科技團隊的安全研究員 "slipper@0ops",現場演示 iPhone 8 的破解操作。
利用 iPhone 8 的巨大安全漏洞,黑客能夠遠程操控手機,獲得手機的最高權限,實現讀取用戶信息、盜取照片,並在手機上自由安裝 App 等操作。
在 Slipper 演示操作前,主持人黃健翔現場打開瞭一部全新未拆封的黑色 iPhone 8, 用這部新機掃描選手提供的二維碼。
接著,主持人在白色提示板上寫下一串數字,然後用手機自拍和數字合影。
攻破 iPhone 8 的參賽選手 Slipper(左)
20 分鐘內,Slipper 在禁止觸碰手機和連接調試線的情況下,利用遠程攻擊獲得 iPhone 8 的 Root shell,成功竊取手機中的照片,並報出提示板上的數字。
為瞭證明已獲得該部手機的最高權限,他還在破解過程中,往手機裡裝瞭 GeekPwn 的同名 App。
這或許是 iPhone8 上市以來,首次被發現重大的安全漏洞。
目前,蘋果公司還未對此做出回應。
據選手透露,此次發現的漏洞能影響從 iPhone6 到 iPhone8,甚至更早期型號的 iPhone 用戶。他選擇不提交漏洞給 GeekPwn 組委會,以做更多的後續研究。
人臉識別很安全?
任意人臉都能通過門禁系統
今年 5 月,2017 國際安全極客安全大賽極棒年中賽上,Tyy,從浙江大學計算機專業畢業不到兩年的大學生,僅用瞭 1 分鐘,就輕松破解小鳴單車、永安行、享騎和百拜等 4 款共享單車 App 的漏洞,直接獲取用戶的個人資料,並現場演示如何遠程連線,利用他人賬戶,實現開鎖、騎行的過程。
年中賽上
昨天的這場極棒大賽,Tyy 又來瞭。
這一次,她用瞭 2 分半的時間,通過網絡遠程攻擊漢王人臉識別門禁,利用門禁設備的漏洞成功實現在未設置情況下,刷臉通過門禁。
Tyy
Tyy 表示,利用設備漏洞,攻擊者可以直接修改設備中的人臉細信息,實現用任意人臉來 " 蒙騙 " 人臉識別系統,打開門禁。
黑客能夠欺騙並通過 " 聲紋鎖 " 的驗證
通過一段合成的語音,你的聲音竟然能被機器 " 偷走 "?
在 "AI 仿聲驗聲攻防賽 " 的挑戰環節中,"maxmon""SmartParrot"" 有點意思 "" 神牛 gogo",以及來自清華大學的 " 清晨李唐王 " 等五組選手釋放腦洞,化身語音合成 " 機械師 ",共同向聲紋驗證系統發起挑戰。
" 清晨李唐王 " 成功破解三個聲紋驗證設備獲得第一名。
黑客讓 " 芝麻開門 " 變成 " 西瓜開門 "
聲紋識別逐漸成為未來生物識別的主流,而聲紋鑒定已成為刑事司法中有效證據。但這種安全保護形勢是否真的安全可靠?
在 GeekPwn2017 的現場,選手表示,依托生物特征的識別系統更容易遭到黑客的攻擊。針對聲紋識別的攻擊已經成為新的安全威脅。
五組選手根據《王者榮耀》英雄人物——妲己的配音者所提供的聲音樣本,模擬瞭其聲紋特征,合成一段 " 攻擊 " 語音,對現場提供的四個具有聲紋識別功能的設備發起攻擊,欺騙並通過 " 聲紋鎖 " 的驗證。
