GeekPwn2018演示多款智能設備安全漏洞導致隱私泄露

?毫無察覺的情況下，手機的指紋解鎖竟遭遇“秒破功”? 手機的私密相冊任由他人隨意翻閱?指紋加密U盤里的機密文件被輕易讀取?智能時代，涉及個人隱私保護的多個威脅演示發(fā)生在10月24日-25日，GeekPwn2018國際安全極客大賽上。來自世界各地的安全研究員、白帽黑客、安全大牛們，組成黑客界“最強大腦”團隊，現(xiàn)場以生動形象的破解挑戰(zhàn)演示，提醒各位用戶：生活中我們賴以保護重要隱私的常用智能設備其實并不安全。

時至今日，智能化技術的集大成者——手機，因能夠承載起人們生活所需的大部分功能與重要信息，已然成為每個現(xiàn)代人最必不可少且不可侵犯之物。正是如此，手機淪為廣大不法分子心中最重要的“獵物”。白帽黑客們經(jīng)過縝密研究，在GeekPwn2018現(xiàn)場對不同智能設備及應用場景的安全威脅進行了還原。自2014年創(chuàng)辦以來，極棒帶來了許多關于智能設備的破解展示，向廠商提交了上百個漏洞，也讓更多人關注到智能生活中安全問題的重要性和必要性。

如今，誰的手機相冊里面，沒有點不能與人分享的小秘密?把自己的隱私鎖進手機加密相冊確保其萬無一失，想必已成為大家的常規(guī)操作。然而，就算私密相冊的密碼和圓周率一樣長，像摩斯密碼一樣復雜，也擋不住一個手機系統(tǒng)的低級錯誤，讓你明天就在某些暗網(wǎng)上聲名鵲起。在GeekPwn2018的現(xiàn)場，來自AMC團隊楊志偉、胡強，在觀眾和特邀嘉賓、“最強大腦”節(jié)目主持人蔣昌建老師的配合下，成功完成手機私密相冊的破解挑戰(zhàn)。據(jù)悉，他們是利用手機操作系統(tǒng)的漏洞，通過在手機中安裝一個惡意APP，可以用高權限調(diào)用其他組件，從而繞過私密相冊的身份驗證。對此選手解釋到，這種破解是基于手機操作系統(tǒng)存在的漏洞，和密碼無關。

　　現(xiàn)場觀眾與蔣昌建老師合影留下“私密照片”

作為今年上半年安卓手機的重大技術突破，屏下指紋解鎖號稱以光感指紋識別真正實現(xiàn)秒解鎖，捕獲了許多年輕人的喜愛。但追求極致體驗的同時，大家更在意它的安全性。“指紋解鎖”一直被詬病的安全問題是否能在這次得到質(zhì)的改變?GeekPwn 2018現(xiàn)場，騰訊安全玄武實驗室在現(xiàn)場首度演示了影響觸屏解鎖型安卓設備的“殘跡重用”漏洞——安全研究員通過一張普通的卡片，可以讓任何人對手機的屏下指紋進行解鎖。目前的屏下指紋解鎖功能是利用光學技術捕捉用戶的指紋影像，通過反射體欺騙的方法，可以利用屏幕上殘存的指紋痕跡，讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。

據(jù)悉，該漏洞屬于屏下指紋技術設計層面的問題，會幾乎無差別地影響所有使用屏下指紋技術的設備。騰訊安全玄武實驗室負責人于旸(TK教主)同時也表示，用戶無需太過擔心，騰訊安全玄武實驗室早在今年初就開始和國內(nèi)幾家主流手機廠商合作，不僅通過更新算法修復了已上市手機中的漏洞，還將相關解決方案提交給相關芯片廠商，推動了供應鏈層面的安全修復。

　　蔣昌建配合選手完成手機屏下指紋項目的破解挑戰(zhàn)

另一個在GeekPwn 2018現(xiàn)場被擊垮的智能設備，來自于我們在工作中使用頻率頗高的U盤。U盤丟失是小事，但里邊的數(shù)據(jù)泄露可能就要令你丟掉工作的飯碗。在如今對信息安全的強烈需求下，市場上大批指紋加密U盤面世。但即便是采用唯一“身份 ID”指紋解鎖，加上軍事級256 位 AES 加密技術的指紋加密U盤，也逃不過被Pwn的宿命。來自湖南長沙的伏宸安全實驗室團隊在沒有破壞存儲和主控芯片的情況下，移除原有的指紋識別模塊，通過自制的偽造指紋模塊設備，利用數(shù)學模型，計算出關鍵數(shù)據(jù)，成功實現(xiàn)破解?？此?ldquo;密不透風”的加密系統(tǒng)也無法保證數(shù)據(jù)的萬無一失。

　　選手通過物理手段完成指紋加密U盤項目的破解挑戰(zhàn)

除此之外，還有利用AI欺騙AI的“CAAD對抗樣本攻防挑戰(zhàn)賽”、利用AI“腦補”還原照片打碼的“GAN掉馬賽克挑戰(zhàn)賽”、利用AI還原脫敏數(shù)據(jù)的“數(shù)據(jù)追蹤挑戰(zhàn)賽”等多個腦洞大開的破解項目都在GeekPwn2018現(xiàn)場輪番上演，數(shù)十位國內(nèi)外頂級白帽黑客同場炫技，帶來眾多腦洞大開的破解演示。

作為全球首個探索人工智能與專業(yè)安全的前沿平臺，GeekPwn 2018以“人‘攻’智能，洞見未來”為主題，旨在通過集結(jié)最強黑客戰(zhàn)隊，預演智能設備及人工智能領域潛在的安全問題，探索智能生活的安全之道，助力人們可以更安全地享受智能生活。

KEEN公司CEO、GeekPwn大賽發(fā)起和創(chuàng)辦人王琦表示，人“攻”智能并不是目的，我們希望通過危機的提前預警，讓廠商們?nèi)バ扪a并升級設備，最終讓更多的人可以享受智能生活，享受未來。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。