IT之家10月24日消息 GEEKPWN2017大赛今天在上海正式举行,众多白帽黑客研究团队上演的挑战赛让人目不暇接。从攻破人脸识别门禁系统,到远程越狱破解iphone 8,众多攻破赛项目都给人留下了深刻的印象。下面,IT之家编辑再为大家介绍两个非常引人关注的项目。
没有点"安装",手机被偷偷植入木马
众所周知,现在的诈骗短信越来越多,并且很多都会带有木马链接,这项挑战针对的就是这个问题。选手向测试手机发送诈骗短信,测试者点击链接后手机就被植入木马,选手会利用这个木马程序远程更换测试手机中的图片。
选手挑战时使用的是某品牌最新的安卓手机,挑战时间为20分钟。挑战时,两名测试者分别用两台测试手机自拍,之后测试手机收到钓鱼短信,测试者打开链接后app自动安装并且启动,随后选手进行远程攻击。
选手顺利完成了这项挑战,攻击之后测试手机里面的照片已经替换为参与测试的另一台手机中的照片。
选手介绍称,这个攻击主要是针对于该厂商的特定攻击,他们也在其他厂商的手机中发现了类似的问题。不过这一次他们不会公布漏洞细节,因为接下来他们要做进一步的分析以及对其他厂商的跟踪分析。分析完成之后,他们将会把漏洞细节披露给各个厂商。
人脸、虹膜等生物识别技术破解
近几年,生物密码(指纹、虹膜、人脸)的应用范围越来越广泛,而这也随之衍生了一个新问题,就是安全问题。这项挑战就是针对生物密码进行攻击,选手通过复制测试者的生物密码信息解锁测试者的手机,并且不需要对测试者的手机发起攻击。
选手挑战时使用的是两款主流品牌的手机,其中一台测试指纹,另一台测试指纹+虹膜+人脸识别,挑战时间是25分钟。挑战时,选手通过让测试者使用伪装的接线板采集了指纹信息,通过让测试者戴上特制的vr眼镜采集了虹膜信息,通过测试者一张清晰的自拍照采集了人脸信息。
在测试过程中,虹膜和人脸信息的收集和破解都非常顺利。在虹膜识别环节,选手通过技术手段将测试者的虹膜进行了复制,最后成功在一张眼部细节照片中完成了解锁。在面部识别环节,选手将测试者的面部信息以照片的形式复制出来,成功将锁屏的手机解锁。不过值得注意的是,在面部识别环节需要将打印出的面部照片放在光线较暗的箱子里,避免正常反光对识别结果造成干扰。
这次挑战有些遗憾的地方在于指纹识别部分没有攻破成功,选手表示失败的原因是得到图像干扰特别大,噪点比较多。
对于本次挑战的内容,选手表示,本质就是复制生物密码的信息。选手称,生物识别其实并没有那么安全,因为生物信息是不可更换的,只要复制下来就成功了一大半,剩下的就把复制下来的信息重新制作出来。包括大家见得最少、公认安全性最高的静脉,其实也可以被攻破。
推荐阅读:
GEEKPWN 2017:90后女黑客攻破门禁系统,盘古团队复制银行卡
GEEKPWN2017:黑客远程越狱iPhone 8并获取照片