從手機(jī)掃碼支付、智能穿戴設(shè)備，到人臉識別的無人店、人工智能機(jī)器人，互聯(lián)網(wǎng)的應(yīng)用日新月異，深刻改變著我們每一個人的工作和生活。

但是，如果有黑客瞄上了你的設(shè)備，盜取信息，為所欲為，那你的生活還能安全嗎？不僅是個人，網(wǎng)絡(luò)安全已經(jīng)成為國家、社會、經(jīng)濟(jì)安全的重要屏障。

震驚！白帽黑客分分鐘攻破科技漏洞

在GeekPwn2017國際安全極客大賽上，白帽黑客們上演了一場與現(xiàn)代科技的巔峰對決，攻擊對象包括當(dāng)下最火的人臉識別，以及聲紋識別、使用銀行卡在智能POS機(jī)消費等場景，令人驚嘆的項目破解秀，揭露了網(wǎng)絡(luò)空間存在的安全問題。

不靠整容、不換照片，2分半鐘破解人臉識別門禁系統(tǒng)。

半月談記者在現(xiàn)場看到，評委在一臺人臉識別門禁系統(tǒng)中錄入自己的臉，只有這張臉才能打開門禁。

然而，畢業(yè)于浙江大學(xué)計算機(jī)專業(yè)的90后女選手“tyy”僅用時兩分半鐘就破解了門禁系統(tǒng)。

tyy解釋說，人臉識別系統(tǒng)并不是萬無一失。

她通過wifi進(jìn)入門禁系統(tǒng)，利用系統(tǒng)漏洞直接獲取控制權(quán)限、修改人臉信息，把設(shè)備中存儲的評委人臉換成了自己的臉。

這也意味著可以用任意人臉來“蒙騙”人臉識別系統(tǒng)，打開門禁。

“芝麻開門”變成“西瓜開門”，你的聲音并非“唯一”。

數(shù)字信息化的發(fā)展，聲紋識別逐漸成為未來生物識別的主流，而聲紋鑒定已成為刑事司法中的有效證據(jù)。

但化身語音合成“機(jī)械師”，共同向聲紋驗證系統(tǒng)發(fā)起挑戰(zhàn)的選手們表示，針對聲紋識別的攻擊已經(jīng)成為新的安全威脅。

本次比賽的聲音樣本，由游戲《王者榮耀》里的人物“妲己”的配音者提供。

根據(jù)比賽規(guī)則，各位選手先學(xué)習(xí)了“妲己”聲音樣本的聲紋特征，合成語音音頻，然后對若干語音驗證系統(tǒng)發(fā)起攻擊。

結(jié)果是，五組選手成功實現(xiàn)了對語音驗證系統(tǒng)的突破，“欺騙”了目標(biāo)系統(tǒng)，使其無法做出正確的判斷。

“AI仿聲驗聲攻防賽”主評委鄭方表示，就目前生物特征識別技術(shù)的發(fā)展來看，聲紋本身因語音信號所含信息量的豐富性，是最安全的。

然而，目前市面上所見的一些帶聲紋識別功能的智能語音產(chǎn)品，普遍對安全性考慮不夠，沒有防攻擊技術(shù)支撐，這是被攻陷的主要原因。

明明手捂著輸密碼，銀行卡里的錢卻“不翼而飛”。

與黑白屏的傳統(tǒng)POS機(jī)不同，現(xiàn)在很多商家開始采用多合一的彩屏智能POS機(jī)收單。但智能產(chǎn)品帶來了豐富功能，也產(chǎn)生了許多問題。

評委在現(xiàn)場拿了一張銀行卡，把賬號和密碼寫在一個白板上，反扣在不透明的桌子上。一名選手假裝成顧客使用智能POS機(jī)，另一名選手則在電腦上進(jìn)行操作，兩人相互配合，利用后門開啟設(shè)備數(shù)據(jù)線調(diào)試接口及管理權(quán)限控制了這臺POS機(jī)。

當(dāng)評委拿著準(zhǔn)備好的銀行卡刷卡消費時，選手就輕松獲取了在POS機(jī)上的刷卡信息，相當(dāng)于盜取了這張銀行卡的卡號和密碼。

選手不僅在現(xiàn)場寫出了跟評委在白板上所寫的一模一樣的數(shù)字，還復(fù)制出一張新卡，并在一個沒有被“做過手腳”的POS機(jī)上，成功打出了消費單子。

除了上述項目，攻破賽中還上演了“機(jī)器人學(xué)會了握筆寫字，但TA能夠代替你簽名嗎”“我請全國人民看電影的夢想，能夠?qū)崿F(xiàn)嗎”“有人在我車外貼了個東西，汽車就失控了”……

GeekPwn大賽發(fā)起和創(chuàng)辦人、KEEN公司CEO王琦表示，比賽所呈現(xiàn)的漏洞，不是想造成公眾恐慌，而是希望得到廠商和更多人的重視。

尤其是一提到人工智能，大家總是擔(dān)心機(jī)器人可能代替人類工作，其實對技術(shù)人員來說，更關(guān)心的是它會不會“學(xué)壞”。未來機(jī)器出了問題后再去修復(fù)可能比今天補(bǔ)漏洞要困難很多。

因此，比賽鼓勵全球頂尖AI相關(guān)領(lǐng)域的安全研究團(tuán)隊積極參與，提前預(yù)演人工智能領(lǐng)域可能存在的安全威脅并協(xié)助廠商修復(fù)，促進(jìn)人工智能健康發(fā)展。

新科技應(yīng)用層出不窮，要便利還是要安全

只需掃一眼屏幕，蘋果最新款手機(jī)的原深感攝像頭就能瞬間識別主人，解鎖設(shè)備乃至完成支付；

在剛剛開業(yè)的蘇寧首家無人店，消費者只需下載蘇寧金融APP，通過面部識別進(jìn)行“綁臉”，即可“刷臉”進(jìn)入店內(nèi)，購買商品后無需排隊付款，直接通過付款閘道，“Biu”地一下就能完成購物……

全球IT研究顧問與咨詢公司Gartner預(yù)測，不管是軟件還是硬件，到2020年30%的新開發(fā)項目里面會含有人工智能元素，而今天大概不到5%。

可以預(yù)見，未來人們的生活將與新興科技息息相關(guān)，與此同時，也可能面臨更多網(wǎng)絡(luò)攻擊。

以人臉識別為例，360公司安全技術(shù)人員表示，技術(shù)的隱患主要在活體認(rèn)證部分，無特殊硬件支持的傳統(tǒng)手機(jī)端的支付存在更多安全隱患。

新的蘋果手機(jī)基于深度攝像頭，在活體認(rèn)證部分性能有了極大提升，但依然有利用假面具對其破解的報道見諸報端。