全球顶级黑客巅峰对决人工智能
“骗过”人脸识别门禁、独一无二的声音被机器“偷走”、汽车被他人控制、3D打印机模仿真人笔迹写下的欠条难分真假、银行卡密码不翼而飞……10月24日, GeekPwn2017国际安全极客大赛在上海召开,来自世界各地的天才黑客们,在现场探索人工智能的安全问题展开,上演了一出出脑洞大开的黑科技破解秀,将电影中也难描述的未来场景变为现实,同时赢走数十万元的奖金。
■新快报记者 郑志辉
iPhone X带热人脸解锁 也带来了新危机
本周五即将上市的苹果新机iPhone X,其中最吸引人的莫过于人脸解锁。实际上,除了用在手机上,不少公司也开始给门禁加上这项高科技,只有自己公司的人才能刷脸进入。但是这真的能高枕无忧了吗?
极棒大会的开场项目即是攻击门禁设备,挑战者是一个毫无攻击性的软妹纸tyy,她要攻破的是一体式嵌入设备(刷脸机器)。在正式攻击前需要检测设备是否工作正常,并把评委的脸录入进去,保证除评委外任何人不能刷开门禁。准备就绪后,选手开始挑战。仅仅只用了 2分30 秒,评委凭借自己的脸已经不能打开门,选手用自己的脸尝试刷门成功。
安全专家点评:最好是给自家门加两道锁,一道电子门锁,一道是铁锁,传统的贼破解不了电子门锁,破解电子门锁的黑客也打不开铁锁,可以说很放心了。
请来妲己配音,巧破声纹锁
理论上,任何两个人的声纹图谱都存在差异。然而,黑客们还是利用AI技术轻松欺骗了声纹验证设备。在当天的声纹识别挑战中,共有5组参赛选手,分别是“maxmon”、“SmartParrot”、“有点意思”、“神牛gogo”以及“清晨李唐王”。他们化身语音合成“机械师”,根据《王者荣耀》英雄人物——妲己的配音者所提供的声音样本,模拟其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过“声纹锁”的验证。
最后,“清晨李唐王”成功“欺骗”三个声纹验证设备获得第一名。据了解,声纹识别系统通过分析一个人的声音可以监控超过数百种独特的声音特征。这些特征包括:节奏、口音、发音,还有声音所对应的喉管、声道、鼻腔的形状与尺寸等。
安全专家点评:就目前生物特征识别技术的发展来看,声纹本身因语音信号所含信息量的丰富性而是最安全的。但目前市面上所见的一些带声纹识别功能的智能语音产品,普遍对安全性考虑不够,没有防攻击技术支撑。这是被黑客攻陷的主要原因。
10米之外也能盗取虹膜信息
今年,三星号称“超级安全”的新款手机盖乐世S8/S8+曾陷入虹膜识别被破解的尴尬。据报道,这款手机在上市不到一个月时间内被曝出遭德国黑客轻松攻破。
而对黑客“小灰灰”来说,连仿制眼睛都不需要,一张彩打的眼睛照片就可以破解虹膜识别。作为本次试验的“受害者”,GeekPwn评委、犇众信息CTO徐昊戴上了小灰灰准备的特制AR眼镜,随后虹膜信息被采集到电脑上。不一会儿,小灰灰将制作好的“眼睛图片”彩色打印出来,然后用手机扫描这张彩照,成功解锁手机。更神奇的是,小灰灰称,虹膜可用红外线照射取得,即便距离10米之外,也可获取。
安全专家点评:除非你不用虹膜、指纹解锁,否则从今儿起,暴走在外的你就是一个行动的活体密码。
说到安全,黑客们真的不是
针对iPhone 8……
过去十年以来,封闭式的苹果iOS被视为安全系统的典范。然而,随着这几年苹果逐渐开放权限、开源部分内核代码,这个苹果终于被证明确实是“有缺口”的,最新上市的iPhone 8也不例外。
在现场,主持黄健翔打开一台未拆封的iPhone 8手机,拍摄选手提供的二维码进行扫描,只需要点开跳转链接,选手就能远程获取iPhone的最高权限,并窃取手机中的照片,还能够在手机中安装非APP Store的应用。号称史上最配合贼的黄健翔还特意拿起评委预先写好的一串密码纸进行自拍,只要选手窃取了这张自拍就能获得密码。尽管现场网络不稳定,这项挑战还是在最后三分钟完成了。据选手透露,此次发现的漏洞将会影响从iPhone6到iPhone8甚至更早期型号的iPhone用户。同时,选手选择不提交漏洞给GeekPwn组委会,以作更多的后续研究。
安全专家点评:其实,黑客们说iPhone的系统安全性很垃圾,真的不是针对iPhone 8,而是说iPhone全家……
