中国黑客发现iOS11漏洞:可远程破解 还没提交苹果[Migage]

Source

  中国黑客发现iOS11系统漏洞:可远程破解,还没提交苹果

  澎湃新闻记者 杨鑫倢

  iPhone 8刚上市,已经被中国“白帽黑客”发现了安全漏洞。

  10月24日,GeekPwn2017国际安全极客大赛在上海举办。一位中国选手现场演示了利用自己发现的苹果公司最新上市的手机iPhone 8最新系统漏洞,在用户打开黑客的链接后,黑客就能获得iPhone 8最高权限,盗取用户手机内的照片,并在手机中安装非来自于苹果官方App Store的应用。

  由于iPhone 8采用最新的iOS 11系统,这也意味着,从iPhone 6s到iPhone 7到iPhone 8都可能面临安全风险。

  不到20分钟,iPhone 8被远程破解

  为了确保参赛手机未被动过手脚,主办方特地拿来一台全新的iPhone 8。

  参赛选手Slipper介绍,用户只要在iPhone 8里面打开黑客的链接,比如扫描二维码,用户的iPhone就能被控制,黑客通过远程控制的方式,就能看到用户iPhone手机里面的照片。

  比赛开始前,评委事先拍了一张带有一串数字的照片,如果Slipper最后报出相同数字,那么挑战成功。

  比赛开始后,评委用iPhone 8扫描了Slipper给出的二维码,进入了链接,随后slipper进行远程控制,但由于现场Wi-Fi不稳定(可能遭到干扰),连接断线。slipper随后进行了第二次尝试。

  在倒计时20分钟结束前数十秒钟,Slipper成功偷到iPhone 8里的照片,并报出了准确数字。为了证明自己是黑进了系统,Slipper还偷偷植入了一个“恶意app”。

  安全公司KEEN首席执行官、GeekPwn大赛发起人和评委王琦表示,如果不是现场Wi-Fi的问题,这个攻破应该是在一分钟内就能搞定。2013年,在世界顶级信息安全比赛Pwn2Own上,Keen就花了不到30秒,就率先破解了当时苹果最新的iOS7.0.3系统。

  攻破iPhone 8的参赛选手Slipper

  按常理,GeekPwn选手都会将漏洞通过比赛主办方提交给厂商,但Slipper表示,希望能进一步研究攻破机制,再将漏洞提供给苹果公司。他也同时承诺,“当然,我不会做坏事。”王琦表示尊重选手个人意见。

  Slipper说,他自己以前不用iPhone,只给女朋友买过iPhone,通过研究女朋友的iPhone手机,他发现,iPhone并没有想象中安全。Slipper提醒大家,平时用手机要养成好的习惯,不要乱扫二维码,乱点链接。

  由于这一攻破刚刚结束,苹果尚未给出回应。

  苹果历来对iOS的安全性很重视,也能付更多报酬,对找出iOS漏洞的白帽黑客最高可以奖励20万美元。

  延伸阅读:GeekPwn还揭示了哪些隐藏的安全问题

  作为全球最大关注智能生活的黑客大赛,GeekPwn2017 以“解构行动”为主题,将于10月24日及11月13日分别在中国上海及美国硅谷举办。全球顶级黑客将汇聚中国上海和美国硅谷,带来四场脑洞巨大的竞技和展示:人工智能安全挑战赛、AI仿声验声攻防赛、I-CTF(工控夺旗攻防赛)决赛、无规则智能生活Pwn。

  每年的GeekPwn都能吸引安全圈的大牛。今年,腾讯百度、华为、小米、摩拜单车等互联网公司的安全团队都来到现场关注这一赛况。

  小心!刷脸面临安全挑战

  90后女黑客两分半钟攻破人脸识别系统

  毕业于浙江大学计算机专业的90后女黑客“tyy”,演示了人脸识别设备的漏洞。通过利用设备本身存在的漏洞,选手仅用时两分半钟,就成功实现了用任意人脸通过门禁系统。

  90后女黑客“tyy”演示了人脸识别设备的漏洞

  如今,“刷脸”已经成了人们生活中必不可少的一件日常事务,从移动支付、解锁手机,到公司、学校、小区门禁,甚至火车站乘车、公园领取厕纸都运用到了人脸识别技术。但是,技术发展带来便利的同时也可能带来安全风险。当门禁用上了高科技,难道真的可以“高枕无忧”了吗?当机器通过看脸就认出你是谁,别人就不能假冒你了吗?

  对此,“tyy”在现场介绍,人脸识别系统并不是万无一失。利用设备漏洞,攻击者就可以直接修改设备中的人脸信息,实现用任意人脸来“蒙骗”人脸识别系统,打开门禁。

  其实,这是“tyy”第二次来到GeekPwn的舞台,在今年5月GeekPwn年中赛上,她就展示了四款共享单车品牌的高危漏洞。谈及二度参加比赛的初衷,“tyy”表示:“好奇心让我决定开始研究新的领域,理智告诉我一定要带着漏洞上GeekPwn。”

  小心!你的声音会被机器“偷走”干坏事

  黑客能够欺骗并通过“声纹锁”的验证

  通过一段合成的语音,你的声音竟然能被机器“偷走”? 10月24日,GeekPwn在国内首创的“AI仿声验声攻防赛”的挑战环节中,“maxmon”、“SmartParrot”、“有点意思”、“神牛gogo”以及来自清华大学的“清晨李唐王”等五组选手释放脑洞,化身语音合成“机械师”,共同向声纹验证系统发起挑战。

  “清晨李唐王”成功破解三个声纹验证设备获得第一名。

  黑客让“芝麻开门”变成“西瓜开门”

  声纹识别逐渐成为未来生物识别的主流,而声纹鉴定已成为刑事司法中有效证据。但这种安全保护形势是否真的安全可靠?在GeekPwn2017的现场,选手表示,依托生物特征的识别系统更容易遭到黑客的攻击。针对声纹识别的攻击已经成为新的安全威胁。

  五组选手根据《王者荣耀》英雄人物——妲己的配音者所提供的声音样本,模拟了其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击,欺骗并通过“声纹锁”的验证。

  王琦表示,GeekPwn希望通过这样的比赛形式,提前预演人工智能领域可能存在的安全威胁并协助厂商修复,保护人工智能健康发展。

  “我们出于一种好奇,或者是一种忧虑,这里会不会有问题,那里会不会出问题。我不认为这种忧虑是一种悲观主义,因为安全问题从来不是因为黑客才存在的,恰恰是因为黑客发现而被消灭。”王琦说。


Samsung UHS-1 Class10 Micro SDHC 32GB $9.99 USD ($12.71 AUD) delivered @ GearBest[Migage]
Wolfenstein II: The New Colossus, The Evil Within 2 & Destiny 2 - $69 Each Delivered @ Gamesmen[Migage]
[XB1/PC] Forza Horizon 3 - $36.76 @ CD Keys (with FB 5% off)[Migage]
Nier Automata PS4 $45.82 + Shipping $6.54 at Play-Asia[Migage]
HP Omen 17.3” GTX1060 Laptop with G-SYNC, i7-7700HQ, 16GB, 256GB+1TB $1799.1 Delivered @ JW Computers eBay Store + More[Migage]
Invisible Ink Pen UV Light Pen [Registred Customers] $0.20 Delivered @ Zapals[Migage]
Nokia 5 16GB/2GB 5.2" Blue $210, Nokia 3 16GB/2GB Orang $170 Shipped (HK) (NFC, b28, Dual Sim, MicroSD, Android 7.1.2) @ QD eBay[Migage]
Water Wheel Beach Toy for US $15.99 (-AU $20.5) - @ SainSmart Jr[Migage]
Original Xiaomi Mijia 0.5mm Sign Pen $0.96 US (AU $1.22), Xiaomi Ink Pen Refill 3PCS $0.92 US ($1.17 AU) Delivered @ Gearbest[Migage]
50% off Set Menu Boxes at Aussie Farmers Direct - New Customers Only, Minimum Spend $39.50[Migage]
Migage News
Migage 6Park
Migage WXC
Migage CNBeta
Migage Yeeyi
Migage TieXue
Migage SinaFiance
Migage Hexun
Migage Fenghuang
Migage XKB
OZbargain
Migage Bloomberg
Migage SMH
Migage YahooTW
Lenovo Yoga 720 15.6" 2-in-1 Notebook Core i7-7700HQ 16GB RAM 256GB SSD GeForce GTX 1050 $1,688 @ Harvey Norman[Migage]
Nespresso EN 126AE Coffee Machine $91 @ Amazon AU[Migage]
Breville BCG820BSS The Smart Grinder Pro Coffee Grinder - $179 Delivered @ Amazon AU[Migage]
WD Green 120GB SSD $45 Pickup Vic or + Postage @ Centrecom[Migage]
Tefal Cook4me+ CY8518 Black Smart Multi Cooker Pressure Cooker with 150 Built in Pre Programmed Recipes $147.50 @ Amazon AU[Migage]