耳機成追蹤器,汽車被遠端解鎖…智慧產品的安全漏洞你怕嗎?


大牌場BIG(作者 盧雲龍 )


隨著科技迅猛發展,智慧機器、智慧應用出現在我們生活每個角落,並且扮演著越來越重要的角色。那麼,這些新生事物靠譜嗎?

10月24日在上海舉行的GeekPwn(極棒)2021安全極客大會上,一群極客展示了他們的奇思妙想:如果酒店送餐機器人的外賣被“調包”?如果胰島素泵被“挾持”?如果把明星運動員潘曉婷和《最強大腦》選手王昱珩的人臉互換?通過一系列測試,這些極客預演安全威脅,努力挖掘出智慧應用的缺陷和漏洞,幫助廠商修復漏洞,讓智慧應用變得更“靠譜”。

“AI鑑定師”15分鐘識別394段“換臉”視訊

近期,AI換臉風波不斷,名人隱私飽受AI換臉的威脅。早前的一檔真人秀節目裡,明星運動員潘曉婷和《最強大腦》選手王昱珩就嘗試用AI技術“換臉”,讓大眾真假難辨。AI能造假,也能打假。本屆極棒大賽的“AI鑑定師”專案中,WE_Team戰隊的選手利用AI技術在15分鐘內判斷500段真假視訊,最終正確識別394段視訊,以78.8%正確率挑戰成功。據介紹,78.8%的正確率相當於世界前十的水平。在另外一個專案“眼鏡易容術”中,TSAIL戰隊的選手利用AI演算法生成的照片製成眼鏡,成功“欺騙”了系統,通過了人臉識別活體檢測,讓AI“變笨”。


| 利用AI技術成功識別真假視訊。受訪者供圖 |

點評:GeekPwn評委代表,騰訊安全玄武實驗室負責人於暘接受大牌場BIG哥採訪時表示,國家最近頒佈了一些採集個人資訊的安全條例。相關法律法規不僅是規定廠商們不能隨意去採集人臉資料,即便採集資訊後的用途是合法的,也不能“越界”採集人臉資料,廠商更有責任保護這類資訊保安。極客用短時間高效率破解AI換臉的情況,證明廠商需要謹慎使用使用者資料,否則有可能成為“被告”。

通過藍芽控制病人“生命線”

延伸閱讀  一身的殺手鐗,極氪ZEEKR 001下線,能否突破重圍?

在醫療領域,野生極客曾穎濤帶來了一項通過控制胰島素泵來突破其原有注射設定的挑戰。選手通過藍芽侵入胰島素泵的控制器,修改了原有的注射設定,用幾秒鐘就將加大注射劑量的胰島素全部推出,這種情況如果發生在現實中,將對病人的生命造成嚴重威脅。

點評:據丁香醫生平臺上的線上問答醫生介紹,在國內市場已出現了胰島素泵可以搭載的資料傳輸軟體管理系統。胰島素泵系統能夠獲取泵的治療資料,個人使用更智慧、方便。例如取出手機即可設定注射餐前大劑量,糖尿病患者在公共場合可以保障隱私。但極客的入侵演示給相關廠商帶來警醒,系統開發者應與網路安全平臺合作,確保糖尿病患者安全使用產品。

手機變成汽車“遙控器”

在車聯網領域,手機數字鑰匙的應用越來越廣泛。在比賽中,有選手通過遠端攻擊破解了某租車平臺的數字鑰匙,只要提供車牌號碼,選手就能無視地理限制,對平臺上的汽車進行解鎖、開關車窗及空調等操作。


| 只要有車牌號碼,數字鑰匙可對平臺上汽車進行解鎖。受訪者供圖 |

點評:極客將真實的汽車變成“玩具遙控車”操控,這讓眾多使用者對租車平臺的安全效能感到顧慮。據進行此項操控的極客介紹,當攻擊發生時,會影響附近同類裝置的部分車型汽車。比賽結束兩週內,GeekPwn會將漏洞細節提交給廠商,並協助其進行修復。

耳機成追蹤器

個人隱私也面臨被惡意窺探的風險。使用者的隱私安全問題,同樣受到本屆GeekPwn的重點關注。來自騰訊安全玄武實驗室的選手對藍芽耳機發起挑戰,在耳機中寫入程式碼植入定位功能,通過演算法實時記錄行動軌跡,實現遠端定位跟蹤。


| 改造藍芽耳機實現遠端定位。受訪者供圖 |

點評:藍芽耳機作為普及率非常高的智慧裝置,安全防線一旦被攻破,將對大眾隱私甚至生命安全帶來嚴重威脅。騰訊安全玄武實驗室選手表示,相關智慧漏洞會在後續向廠家報告,同時提醒使用者,如果發現藍芽耳機出現雜音或連線異常,需要及時上報廠家。

延伸閱讀  超充週報|僅僅把車賣的越來越多是不夠的……

大牌場BIG哥在GeekPwn 2021的直播現場瞭解到,酒店送餐機器人、企業內部印表機、智慧保險箱、電視機頂盒等與智慧生活息息相關的挑戰輪番上演。王昱珩表示:“這就是智慧圈的‘3·15’晚會,無論你是否懂網路技術,都可以從中瞭解到生活中的安全漏洞。”


| 破解智慧保險箱。受訪者供圖 |

GeekPwn大賽負責人、上海交大資訊保安學院碩士楊泉接受大牌場BIG哥採訪時表示,GeekPwn大賽不僅給極客搭建了一個展示自己的舞臺,還積極釋放自身價值,將極客、安全廠商、企業以及大眾凝聚在一起,推動安全生態構建。

(想了解更多,可關注微信公眾號“大牌場BIG”)

Scroll to Top