1024,是程序猿的节日。
被誉为“黑客奥运会”的GeekPwn(极棒) 2016嘉年华就选在10月24日举行。作为已有国际影响力的黑客大赛,此次GeekPwn吸引了众多来自国内外的顶尖白帽黑客选手参加。
在比赛现场,来自中、美、俄、新加坡等国家的58名顶级黑客,轮番展示了众多炫酷的黑科技破解。智能手机、指纹破解、机器人、人工智能等多领域的智能软、硬件均现场沦陷。
前所未见之一:人工智能与安全的对抗带来未来思维
![]()
据人工智能概念首次提出已过去60多年,近年来人工智能研究如火如荼。然而人工智能的安全性问题却未受到大众的重视。毕业于斯坦福大学研究人工智能的安全专家Clarence Chio在现场展示了“对抗式机器学习实践”,即利用DEEP-PWNING框架,欺骗图像识别系统和恶意软件分类器,让采用了机器学习的系统做出错误判断。Clarence Chio的演示,打破了人们对人工智能的迷信,他希望被过度炒作的“深度学习”可以回归到安全的保护伞下,开发者能够在至关重要的应用程序中放心使用。
前所未见之二:Valve Source引擎存在漏洞,千万游戏玩家或被影响
![]()
来自美国的Amat Cama为我们展示了,通过攻击Valve Source游戏引擎,进而远程控制游戏玩家电脑。Amat Cama在场上邀请了一位美女主播参与互动,在美女主播开始操作游戏后不久,Amat在对方不知情的情况下,入侵了正在游戏的电脑,并通过电脑摄像头监控了主播的实时视频。据了解,ValveSource游戏引擎应用于DOTA2、反恐精益等多款主流游戏,该漏洞将影响千万游戏玩家。
前所未见之三:打破物理世界与数字世界,GeekPwn跨界定义安全
![]()
在比赛现场首次出现了机器特工挑战赛和极棒跨次元CTF两种前所未有的比赛形式。从物理世界到数字世界,机器人演绎“谍影重重”。在经历了现场手机磁场干扰、机器人的图像传输模块损坏等险象环生的“意外”后,选手薛恩鹏的机器人成功潜入主办方设定的“办公场景”,将U盘插入台式机窃取了台式机内的数据并撤退,夺得冠军。另一个创新比赛为跨次元CTF争夺赛同样掀起了一场“跨维打击”,四支团队以代码为武器,在经过争分夺秒的脑力鏖战后。
在观赛过程中,小编还发现,中、外黑客们在相同领域的技术侧重有所不同,却共同分享着自己的探索经验。
长亭科技VS加利福尼亚大学Shellphish
人手一部的智能手机向来是黑客们的“宠儿”,几乎每个黑客大赛上都有破解智能手机的项目。但GeekPwn2016嘉年华却有所不同,来自长亭科技的的选手root了华为畅享5手机,选手构造出一个Android APP,安装这个APP后,手机内的漏洞被触发,手机被攻击者控制,用户信息面临被盗的威胁。
正所谓强中自有强中手,在高手如林的GeekPwn赛场,来自加利福尼亚大学圣塔芭芭拉分校的Shellphish团队,直接攻破了手机的“最后一道防线”。
![]()
TrustZone是保护敏感信息的一种硬件安全架构体系,其对于手机而言,相当于家里的保险箱。Shellphish队员利用TrustZone驱动程序中的漏洞篡改了指纹验证模块,现场观众可以用鼻尖解锁华为P9lite。利用这个漏洞,不仅能够获得手机中的敏感数据,还能直接进入支付等高权限场景,让“信任区”的保护形同虚设。
智能插座发微博VS 智能行李箱被破解
来自凤凰解码团队和美国硅谷站的孙科、欧亚、赵延辉,都不约而同的将焦点放在智能生活领域。
凤凰解码团队演示了通过伪装攻击Edimax智能插座,触发漏洞,进而远程控制智能插座,并将智能插座变成“肉鸡”发微博。而美国硅谷站的孙科、欧亚、赵延辉,则通过利用智能行李箱的手机软件上的漏洞,成功解锁智能行李箱。当你的行李箱没有连上手机软件或者超出了软件的控制距离,那么它很有可能被黑客破解了。
