10月24日,GeekPwn2017國際安全極客大賽在上海舉辦。一位中國選手現場演示瞭利用自己發現的蘋果公司最新上市的手機iPhone 8最新系統漏洞,在用戶打開黑客的鏈接後,黑客就能獲得iPhone 8最高權限,盜取用戶手機內的照片,並在手機中安裝非來自於蘋果官方App Store的應用。
由於iPhone 8采用最新的iOS 11系統,這也意味著,從iPhone 6s到iPhone 7到iPhone 8都可能面臨安全風險。
不到20分鐘,公家機關水肥清運iPhone 8被遠程破解
為瞭確保參賽手機未被動過手腳,主辦方特地拿來一臺全新的iPhone 8。
參賽選手Slipper介紹,用戶隻要在iPhone 8裡面打開黑客的鏈接,比如掃描二維碼,用戶的iPhone就能被控制,黑客通過遠程控制的方式,就能看到用戶iPhone手機裡面的照片。
比賽開始前,評委事先拍瞭一張帶有一串數字的照片,如果Slipper最後報出相同數字,那麼挑戰成功。
比賽開始後,評委用iPhone 8掃描瞭Slipper給出的二維碼,進入瞭鏈接,隨後slipper進行遠程控制,但由於現場Wi-Fi不穩定(可能遭到幹擾),連接斷線。slipper隨後進行瞭第二次嘗試。
在倒計時20分鐘結束前台中清化糞池推薦數十秒鐘,Slipper成功偷到iPhone 8裡的照片,並報出瞭準確數字。為瞭證明自己是黑進瞭系統,Slipper還偷偷植入瞭一個“惡意app”。
安全公司KEEN首席執行官、GeekPwn大賽發起人和評委王琦表示,如果不是現場Wi-Fi的問題,這個攻破應該是在一分鐘內就能搞定。2013年,在世界頂級信息安全比賽Pwn2Own上,Keen就花瞭不到30秒,就率先破解瞭當時蘋果最新的iOS7.0.3系統。
攻破iPhone 8的參賽選手Slipper
按常理,GeekPwn選手都會將漏洞通過比賽主辦方提交給廠商,但Slipper表示,希望能進一步研究攻破機制,再將漏洞提供給蘋果公司。他也同時承諾,“當然,我不會做壞事。”王琦表示尊重選手個人意見。
Slipper說,他自己以前不用iPhone,隻給女朋友買過iPhone,通過研究女朋友的iPhone手機,他發現,iPhone並沒有想象中安全。Slipper提醒大傢,平時用手機要養成好的習慣,不要亂掃二維碼,亂點鏈接。
由於這一攻破剛剛結束,蘋果尚未給出回應。
蘋果歷來對iOS的安全性很重視,也能付更多報酬,對找出iOS漏洞的白帽黑客最高可以獎勵20萬美元。
延伸閱讀:GeekPwn還揭示瞭哪些隱藏的安全問題
作為全球最大關註智能生活的黑客大賽,GeekPwn2017 以“解構行動”為主題,將於10月24日及11月13日分別在中國上海及美國矽谷舉辦。全球頂級黑客將匯聚中國上海和美國矽谷,帶來四場腦洞巨大的競技和展示:人工智能安全挑戰賽、AI仿聲驗聲攻防賽、I-CTF(工控奪旗攻防賽)決賽、無規則智能生活Pwn。
每年的GeekPwn都能吸引安全圈的大牛。今年,騰訊、百度、華為、小米、摩拜單車等互聯網公司的安全團隊都來到現場關註這一賽況。
小心!刷臉面臨安全挑戰
90後女黑客兩分半鐘攻破人臉識別系統
畢業於浙江大學計算機專業的90後女黑客“tyy”,演示瞭人臉識別設備的漏洞。通過利用設備本身存在的漏洞,選手僅用時兩分半鐘,就成功實現瞭用任意人臉通過門禁系統。
90後女黑客“tyy”演示瞭人臉識別設備的漏洞
如今,“刷臉”已經成瞭人們生活中必不可少的一件日常事務,從移動支付、解鎖手機,到公司、學校、小區門禁,甚至火車站乘車、公園領取廁紙都運用到瞭人臉識別技術。但是,技術發展帶來便利的同時也可能帶來安全風險。當門禁用上瞭高科技,難道真的可以“高枕無憂”瞭嗎?當機器通過看臉就認出你是誰,別人就不能假冒你瞭嗎?
對此,“tyy”在現場介紹,人臉識別系統並不是萬無一失。利用設備漏洞,攻擊者就可以直接修改設備中的人臉信息,實現用任意人臉來“蒙騙”人臉識別系統,打開門禁。
其實,這是“tyy”第二次來到GeekPwn的舞臺,在今年5月GeekPwn年中賽上,她就展示瞭四款共享單車品牌的高危漏洞。談及二度參加比賽的初衷,“tyy”表示:“好奇心讓我決定開始研究新的領域,理智告訴我一定要帶著漏洞上GeekPwn。”
小心!你的聲音會被機器“偷走”幹壞事
黑客能夠欺騙並通過“聲紋鎖”的驗證
通過一段合成的語音,你的聲音竟然能被機器“偷走”? 10月24日,GeekPwn在國內首創的“AI仿聲驗聲攻防賽”的挑戰環節中,“maxmon”、“SmartParrot”、“有點意思”、“神牛gogo”以及來自清華大學的“清晨李唐王”等五組選手釋放腦洞,化身語音合成“機械師”,共同向聲紋驗證系統發起挑戰。
“清晨李唐王”成功破解三個聲紋驗證設備獲得第一名。
黑客讓“芝麻開門”變成“西瓜開門”
聲紋識別逐漸成為未來生物識別的主流,而聲紋鑒定已成為刑事司法中有效證據。但這種安全保護形勢是否真的安全可靠?在GeekPwn2017的現場,選手表示,依托生物特征的識別系統更容易遭到黑客的攻擊。針對聲紋識別的攻擊已經成為新的安全威脅。
五組選手根據《王者榮耀》英雄人台中清化糞池物——妲己的配音者所提供的聲音樣本,模擬瞭其聲紋特征,合成一段“攻擊”語音,對現場提供的四個具有聲紋識別功能的設備發起攻擊,欺騙並通過“聲紋鎖”的驗證。
王琦表示,GeekPwn希望通過這樣的比賽形式,提前預演人工智能領域可能存在的安全威脅並協助廠商修復,保護人工智能健康發展。
“我們出於一種好奇,或者是一種憂慮,這裡會不會有問題,那裡會不會出問題。我不認為這種憂慮是一種悲觀主義,因為安全問題從來不是因為黑客才存在的,恰恰是因為黑客發現而被消滅。”王琦說。(記者 楊鑫倢)
(原標題:中國黑客發現iOS11系統漏洞:可遠程破解,還沒提交蘋果)
AUGI SPORTS|重機車靴|重機車靴推薦|重機專用車靴|重機防摔鞋|重機防摔鞋推薦|重機防摔鞋
AUGI SPORTS|augisports|racing boots|urban boots|motorcycle boots
文章標籤
全站熱搜
留言列表
