GeekPwn2018演示多款智能设备安全漏洞导致隐私泄露
毫无察觉的情况下, 手机 的指纹解锁竟遭遇“秒破功”? 手机的私密相册任由他人随意翻阅?指纹加密U盘里的机密文件被轻易读取?智能时代,涉及个人隐私保护的多个威胁演示发生在10月24日-25日,GeekPwn2018国际安全极客大赛上。来自世界各地的安全研究员、白帽黑客、安全大牛们,组成黑客界“最强大脑”团队,现场以生动形象的破解挑战演示,提醒各位用户:生活中我们赖以保护重要隐私的常用智能设备其实并不安全。
时至今日,智能化技术的集大成者——手机,因能够承载起人们生活所需的大部分功能与重要信息,已然成为每个现代人最必不可少且不可侵犯之物。正是如此,手机沦为广大不法分子心中最重要的“猎物”。白帽黑客们经过缜密研究,在GeekPwn2018现场对不同智能设备及应用场景的安全威胁进行了还原。自2014年创办以来,极棒带来了许多关于智能设备的破解展示,向厂商提交了上百个漏洞,也让更多人关注到智能生活中安全问题的重要性和必要性。
如今,谁的手机相册里面,没有点不能与人分享的小秘密?把自己的隐私锁进手机加密相册确保其万无一失,想必已成为大家的常规操作。然而,就算私密相册的密码和圆周率一样长,像摩斯密码一样复杂,也挡不住一个手机系统的低级错误,让你明天就在某些暗网上声名鹊起。在GeekPwn2018的现场,来自AMC团队杨志伟、胡强,在观众和特邀嘉宾、“最强大脑”节目主持人蒋昌建老师的配合下,成功完成手机私密相册的破解挑战。据悉,他们是利用手机操作系统的漏洞,通过在手机中安装一个恶意APP,可以用高权限调用其他组件,从而绕过私密相册的身份验证。对此选手解释到,这种破解是基于手机操作系统存在的漏洞,和密码无关。
现场观众与蒋昌建老师合影留下“私密照片”
作为今年上半年安卓手机的重大技术突破,屏下指纹解锁号称以光感指纹识别真正实现秒解锁,捕获了许多年轻人的喜爱。但追求极致体验的同时,大家更在意它的安全性。“指纹解锁”一直被诟病的安全问题是否能在这次得到质的改变?GeekPwn 2018现场,腾讯安全玄武实验室在现场首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞——安全研究员通过一张普通的卡片,可以让任何人对手机的屏下指纹进行解锁。目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,通过反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。
据悉,该漏洞属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。腾讯安全玄武实验室负责人于旸(TK教主)同时也表示,用户无需太过担心,腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复。
蒋昌建配合选手完成手机屏下指纹项目的破解挑战
另一个在GeekPwn 2018现场被击垮的智能设备,来自于我们在工作中使用频率颇高的U盘。U盘丢失是小事,但里边的数据泄露可能就要令你丢掉工作的饭碗。在如今对信息安全的强烈需求下,市场上大批指纹加密U盘面世。但即便是采用唯一“身份 ID”指纹解锁,加上军事级256 位 AES 加密技术的指纹加密U盘,也逃不过被Pwn的宿命。来自湖南长沙的伏宸安全实验室团队在没有破坏存储和主控芯片的情况下,移除原有的指纹识别模块,通过自制的伪造指纹模块设备,利用数学模型,计算出关键数据,成功实现破解。看似“密不透风”的加密系统也无法保证数据的万无一失。
选手通过物理手段完成指纹加密U盘项目的破解挑战
除此之外,还有利用AI欺骗AI的“CAAD对抗样本攻防挑战赛”、利用AI“脑补”还原照片打码的“GAN掉马赛克挑战赛”、利用AI还原脱敏数据的“数据追踪挑战赛”等多个脑洞大开的破解项目都在GeekPwn2018现场轮番上演,数十位国内外顶级白帽黑客同场炫技,带来众多脑洞大开的破解演示。
作为全球首个探索人工智能与专业安全的前沿平台,GeekPwn 2018以“人‘攻’智能,洞见未来”为主题,旨在通过集结最强黑客战队,预演智能设备及人工智能领域潜在的安全问题,探索智能生活的安全之道,助力人们可以更安全地享受智能生活。
KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示,人“攻”智能并不是目的,我们希望通过危机的提前预警,让厂商们去修补并升级设备,最终让更多的人可以享受智能生活,享受未来。