破解指纹、致盲AI、远程窃取信息,GeekPwn2019再曝AI漏洞

来源:观察者网

2019-10-24 18:32

(观察者网讯 文|庄怡)

仅仅凭借着玻璃杯上残存的指纹,来自腾讯安全玄武实验室的挑战队伍就通过了多款身份认证设备的识别。

10月24日,在GeekPwn2019国际安全极客大赛现场,腾讯安全玄武实验室继“残迹重用漏洞”后,再次披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。该研究通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而通过各种指纹设备的验证。

现场,该实验室研究员陈昱邀请观众接触一个玻璃水杯。随后,陈昱拿出手机拍摄观众留存在水杯上的指纹,再经过手机APP解析形成的有效指纹信息,接着,利用雕刻机克隆出了一枚指模。利用这个“克隆指纹”,陈昱通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备,引发现场观众热烈鼓掌。

据陈昱介绍,这项技术采用的是屏幕图像采集技术以及指纹雕刻技术,首先通过使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹,经过指纹破解APP解析形成有效指纹信息,再借助雕刻机克隆指模,最后便可使用克隆指模通过各种验证。值得一提的是,这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。

不过用户也不用过于恐慌,陈昱称,只要在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。据悉,目前玄武实验室已与多家指纹验证设备提供商进行沟通,推动该问题的解决。

上述破解指纹还只是我们常见的AI漏洞之一,观察者网在现场看到,白帽黑客们利用图像对抗样本,仅仅通过一张纸就在AI镜头下实现了“隐身”。

在比赛现场,Hiding Cat、NISLer、TSAIL这三支战队分别打印了多张“图像对抗样本”,让现场观众将样本举在胸前,放在镜头前就能躲过目标检测系统的识别,让系统感知不到有人存在,在镜头下实现了“隐身”,成功完成了挑战。

值得一提的是,全部攻破的是被视为“目标检测网络的巅峰之作”的YOLOv3系统。若此类安全缺陷被滥用,可能会造成不法分子逃避执法机关追捕等恶劣行为。

此外,来自长亭科技的参赛队伍还利用无线投屏设备的漏洞和平板电视的漏洞,实现了对办公设备的远程控制。

在比赛现场,参赛队伍利用未知安全漏洞,植入了恶意攻击程序,感染了其它连接投屏设备的电脑,然后远程控制被感染的电脑拍摄了用户的照片;并且还利用平板电视的漏洞,获得了平板电视的root shell,截屏并获取了图片。这两项漏洞可以被应用于针对企业的渗透测试中。

据悉,赛后主办方也将会把漏洞同步给相关厂商,并协助厂商进行漏洞修复。

以上赛事挑战只是目前AI漏洞的冰山一角,随着以云计算、AI、物联网、5G为代表的前沿科技的普及,我们面临的漏洞也越来越庞杂。

据主办方介绍,为了应对新形势下的安全威胁,GeekPwn2019赛事全面升级,分为设置挑战场景的命题专项赛和不设限制的非命题开放赛。其中,命题专项赛包括 CAAD 对抗样本攻防赛、隐私安全之反偷拍挑战赛、青少年机器特工挑战赛和云安全挑战赛;非命题开放赛则秉承GeekPwn“无所不 PWN”的精神,分设基于漏洞 PWN 和非基于漏洞 PWN。本次赛事从世界各地的数百支队伍中筛选出52支参赛队伍,共计参与8大类目的挑战。

公开资料显示,GeekPwn创办于2014年,致力于聚焦前沿安全议题,目前已成为全球首个关注智能生活的安全平台、全球首个探索人工智能与专业安全的前沿平台、全球首个产业安全实战操练地。其支持方包括华为、小米、腾讯等国内ICT和互联网企业。

碁震KEEN公司创始人兼CEO、GeekPwn大赛发起创办人王琦表示,要承认数字化世界带给我们的美好,也要承认数字化世界带给我们的不美好。GeekPwn和极客们的使命,就是消灭那些不美好的事物。“完美的未来必然是安全的未来。”王琦认为,对极客来讲,消灭更多不安全的问题,我们才有更安全的未来。

责任编辑:弘毅
观察者APP,更好阅读体验

这条中马“一带一路”重点铁路项目 “或延伸至泰国”

国防部表态:中方不会在南海问题上任菲胡来

关于ASML出口管制,荷兰首相在华表态

警惕!“隐秘”的调查暗藏国家安全风险

巴总理召开紧急会议,“事关在巴中国公民”