毫無察覺的情況下,手機的指紋解鎖竟遭遇“秒破功”? 手機的私密相冊任由他人隨意翻閱?指紋加密U盤裡的機密文件被輕易讀取?智能時代,涉及個人隱私保護的多個威脅演示發生在10月24日-25日,GeekPwn2018國際安全極客大賽上。來自世界各地的安全研究員、白帽黑客、安全大牛們,組成黑客界“最強大腦”團隊,現場以生動形象的破解挑戰演示,提醒各位用戶:生活中我們賴以保護重要隱私的常用智能設備其實並不安全。
時至今日,智能化技術的集大成者——手機,因能夠承載起人們生活所需的大部分功能與重要信息,已然成為每個現代人最必不可少且不可侵犯之物。正是如此,手機淪為廣大不法分子心中最重要的“獵物”。白帽黑客們經過縝密研究,在GeekPwn2018現場對不同智能設備及應用場景的安全威脅進行了還原。自2014年創辦以來,極棒帶來了許多關於智能設備的破解展示,向廠商提交了上百個漏洞,也讓更多人關注到智能生活中安全問題的重要性和必要性。
如今,誰的手機相冊裡面,沒有點不能與人分享的小秘密?把自己的隱私鎖進手機加密相冊確保其萬無一失,想必已成為大家的常規操作。然而,就算私密相冊的密碼和圓周率一樣長,像摩斯密碼一樣複雜,也擋不住一個手機系統的低級錯誤,讓你明天就在某些暗網上聲名鵲起。在GeekPwn2018的現場,來自AMC團隊楊志偉、胡強,在觀眾和特邀嘉賓、“最強大腦”節目主持人蔣昌建老師的配合下,成功完成手機私密相冊的破解挑戰。據悉,他們是利用手機操作系統的漏洞,通過在手機中安裝一個惡意APP,可以用高權限調用其他組件,從而繞過私密相冊的身份驗證。對此選手解釋到,這種破解是基於手機操作系統存在的漏洞,和密碼無關。
現場觀眾與蔣昌建老師合影留下“私密照片”
作為今年上半年安卓手機的重大技術突破,屏下指紋解鎖號稱以光感指紋識別真正實現秒解鎖,捕獲了許多年輕人的喜愛。但追求極致體驗的同時,大家更在意它的安全性。“指紋解鎖”一直被詬病的安全問題是否能在這次得到質的改變?GeekPwn 2018現場,騰訊安全玄武實驗室在現場首度演示了影響觸屏解鎖型安卓設備的“殘跡重用”漏洞——安全研究員通過一張普通的卡片,可以讓任何人對手機的屏下指紋進行解鎖。目前的屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像,通過反射體欺騙的方法,可以利用屏幕上殘存的指紋痕跡,讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。
據悉,該漏洞屬於屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的設備。騰訊安全玄武實驗室負責人於暘(TK教主)同時也表示,用戶無需太過擔心,騰訊安全玄武實驗室早在今年初就開始和國內幾家主流手機廠商合作,不僅通過更新算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關芯片廠商,推動了供應鏈層面的安全修復。
蔣昌建配合選手完成手機屏下指紋項目的破解挑戰
另一個在GeekPwn 2018現場被擊垮的智能設備,來自於我們在工作中使用頻率頗高的U盤。U盤丟失是小事,但裡邊的數據洩露可能就要令你丟掉工作的飯碗。在如今對信息安全的強烈需求下,市場上大批指紋加密U盤面世。但即便是採用唯一“身份 ID”指紋解鎖,加上軍事級256 位 AES 加密技術的指紋加密U盤,也逃不過被Pwn的宿命。來自湖南長沙的伏宸安全實驗室團隊在沒有破壞存儲和主控芯片的情況下,移除原有的指紋識別模塊,通過自制的偽造指紋模塊設備,利用數學模型,計算出關鍵數據,成功實現破解。看似“密不透風”的加密系統也無法保證數據的萬無一失。
選手通過物理手段完成指紋加密U盤項目的破解挑戰
除此之外,還有利用AI欺騙AI的“CAAD對抗樣本攻防挑戰賽”、利用AI“腦補”還原照片打碼的“GAN掉馬賽克挑戰賽”、利用AI還原脫敏數據的“數據追蹤挑戰賽”等多個腦洞大開的破解項目都在GeekPwn2018現場輪番上演,數十位國內外頂級白帽黑客同場炫技,帶來眾多腦洞大開的破解演示。
作為全球首個探索人工智能與專業安全的前沿平臺,GeekPwn 2018以“人‘攻’智能,洞見未來”為主題,旨在通過集結最強黑客戰隊,預演智能設備及人工智能領域潛在的安全問題,探索智能生活的安全之道,助力人們可以更安全地享受智能生活。
KEEN公司CEO、GeekPwn大賽發起和創辦人王琦表示,人“攻”智能並不是目的,我們希望通過危機的提前預警,讓廠商們去修補並升級設備,最終讓更多的人可以享受智能生活,享受未來。
閱讀更多 新視角AI關注 的文章
