快捷搜索:

记者亲历:喝杯水被别人解开手机指纹密码!好

择要:白帽子黑客致力于发明前沿技巧中的安然破绽。

只是拿起一个通俗的玻璃杯喝口水,指纹密码就透露了,手机上的指纹密码回声而开……近日在上海举办的GeekPwn2019国际安然极客大年夜赛上,解放日报·上不雅新闻记者亲历了这一让人匪夷所思的场景,幸好白帽子黑客(指专门掘客收集安然破绽的安然技巧职员,也称“极客”)给出了办理规划。

手机对着指纹拍张照,就能克隆了

智妙手机、智能门锁、保险箱、考勤打卡……眼下,指纹识别利用的场景越来越多,由于根据相关理论,人类指纹只有150亿分之一的重复率。殊不知,黑客能使用最新的技巧手段,破解多种类型的指纹识别,而条件只要得到被“克隆”工具在日常生活中留下的一枚指纹。

腾讯安然玄武实验室钻研员陈昱在GeekPwn 2019现场演绎了这一让人“细思极恐”的场景:被克隆者拿起一个玻璃杯喝了一口水,玻璃杯上留下了指纹。陈昱拿出自己的手机拍摄留存在水杯上的指纹,随后在手机上调试了一番,不过几分钟,就完成了指纹克隆,再使用一台3D雕刻机打印出手印。新手印顺利经由过程了被克隆者提前录好指纹的3台手机和2台考勤机——要知道,这五台机械分手应用了电容、光学、超声波等三种技巧类型进行指纹识别和验证。

陈昱解释说,克隆指纹并不是邪术,而是采纳屏幕图像采集技巧以及指纹雕刻技巧。简单来说,便是先经由过程应用摄影提取手机、门锁、考勤机等物品上的指纹,颠末指纹破解APP解析形成有效的指纹信息,再借助雕刻机克隆出手印,着末便可应用克隆手印经由过程各类验证。这背后利用了玄武实验室自研的指纹破解APP及指纹采集框,即便指纹残影很小且不太完备,也能完全克隆。

“不过,用户无需过分惊恐。虽然这一技巧可以对多种类型指纹识别进行自动化破解,但用户只需在日常应用中养成及时擦去指纹的习气,就能大年夜幅提升指纹设备的安然机能。”陈昱说,钻研指纹破解术不仅是为了提醒人们注重自己的指纹等生物信息,更是为了提醒那些将指纹识别作为密码应用的硬件临盆企业。他先容说,在钻研出指纹克隆术之前,玄武实验室就已发明安卓手机的屏下指纹技巧普遍存在“残迹重用”破绽,“该破绽会险些无区别地影响所有应用屏下指纹技巧的设备。使用该破绽,进击者只需一秒钟就可解锁手机。”不过,他和错误们已经将这一破绽见告了相关手机的临盆方,经由过程后台技巧修补了破绽。

“指纹解锁、面部解锁的安然问题不并不是孤例,而是财产互联网期间所有高低游财产链要合营面对并联袂办理的安然隐患。白帽子黑客钻研破绽的最主要目的之一,便是推动建立优越的协同修复机制,赞助厂商及时修复安然破绽,合营推进行业安然问题的办理。”陈昱说。

若干收集安然破绽必要亡羊补牢?

着实,每年的GeekPwn国际安然极客大年夜赛都好比科幻片现场——哪怕再不愿信托,也不得不被白帽子黑客的“进击”和“防御”能力所折服。在今年的比赛现场,除了克隆指纹,还有很多出人料想的场景。

比如,在为人工智能“找茬”的“CAAD CTF图像抗衡样本攻防赛”现场,TSAIL战队用图片成功诈骗Clarifai人脸识别系统,让人工智能将黄健翔识别成了“美国第一千金”伊万卡·特朗普;Hiding Cat、NISLer、TSAIL三支战队选手经由过程通俗打印机在通俗A4纸上打印出的彩色图片作为“图像抗衡样本”,把它们贴在现场不雅众胸口,变成了能够骗过人工智能识别系统的“隐身符”,而且该系统是被业界视作“目标检测收集的顶峰”的YOLOv3。

再比如,腾讯移动安然实验室的白帽子黑客在现场成功破解了三款主流品牌的安卓手机,他们使用手机系统中的破绽提议进击,实现了手机中自动安装、运行APP,以及获取手机的GPS位置信息等操作。

还有,来自木星安然实验室的选手经由过程破绽实现了远程节制一款人工智能音箱,并在现场播放出惊悚的声音。

主理方表示,将会在赛后将相关破绽提交至临盆厂商并帮忙修复。“要承认数字化天下带给我们的美好,也要承认数字化天下带给我们的不美好。GeekPwn和极客们的任务,便是祛除那些不美好的事物。”GeekPwn大年夜赛提议创办人、碁震KEEN公司开创人王琦说,“完美的未来一定是安然的未来。”

值得一提的是,并非所有的收集安然破绽都能“一键修复”。在今年比赛举办前,记者曾体验过一间被白帽子黑客装了80多个摄像头的夷易近宿,感想熏染到偷拍的要挟(点击可看,加链接),由于“高效、准确地办理偷拍问题”也是今年大年夜赛的一道赛题,只是比赛现场的模拟前提加倍苛刻:密闭房间里安置了15个偷拍摄像头,而且所有物品统一由布帘覆盖,意味着选手不能用目测、手摸的要领探求摄像头。在比赛中,白帽子黑客们只能寄托克己的设备在指准光阴内排查摄像头。只管参赛选手采纳的技巧手段五花八门,也找到了不少摄像头,但没有一支战队霸占整个暗藏的摄像头,以是这一寻衅以白帽子黑客掉败了却。

即便如斯,王琦觉得安然大年夜赛仍有需要,“安然破绽永世不会消掉,黑客的眼光也不止于此刻,极客的任务永世在未来的‘下一战’。在安然危急尚未发生之前,找到抗衡这些进击的措施,将安然隐患扼杀在摇篮里,这是极客精神的核心,也是GeekPwn的初心。”他走漏,从第一届GeekPwn大年夜会走到现在,GeekPwn的舞台已经走出不少中国安然领域的顶梁柱级人物,也推动了越来越多的厂商熟识到安然的紧张性,借助收集安然赛事来推动产品进级与破绽修复。

您可能还会对下面的文章感兴趣: