10月24日,以“人攻智能 洞见未来”为主题的GeekPwn2018国际安全极客大赛上海站正式开启。作为GeekPwn长期以来的战略合作伙伴,腾讯安全不仅持续提供资源和旗下联合实验室的技术支持,也和来自全球的安全团队一起同台挑战。同时,腾讯安全玄武实验室还带来了关于安卓手机屏下指纹技术“残迹重用”漏洞的研究成果,引起业界的广泛关注。 腾讯安全始终致力于推动安全社区的建立,与GeekPwn已有了五年的深度合作。借助和极棒的合作,腾讯安全希望为加速AI安全技术创新、共享技术成果搭建一个长期、持续的沟通交流平台,推动智能产业发展,构建数字安全新生态。 “残迹重用”漏洞首度公布 使用屏下指纹技术设备均受影响 本届GeekPwn赛事上,展示了智能家居、路由器等设备的攻破演练,不仅让在场观众领略了各路极客的技术实力,也揭示了AI时代下潜在的漏洞安全隐患。腾讯安全玄武实验室也在现场首度公开了影响触屏解锁型安卓设备的“残迹重用”漏洞。漏洞的源头并非手机厂商,而是来自屏下指纹芯片厂商,属于屏下指纹技术设计层面的问题,会几乎无差别地影响所有使用屏下指纹技术的设备。
(腾讯安全玄武实验室负责人于旸披露漏洞原理) “使用这种攻击方式,只要一秒钟就能解锁手机。”腾讯安全玄武实验室现场演示了“残迹重用”漏洞的攻击效果,并披露其中的技术原理。目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,通过反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。 腾讯安全玄武实验室负责人于旸(TK教主)同时也表示,用户无需太过担心,腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复。 智能设备接连被攻破 极客现场演绎人“攻”智能 为了打造沉浸式的观赛体验,GeekPwn今年采用了全新的赛事编排,以“黑客拯救人类”的剧情形式串联起不同场景的挑战赛事。腾讯安全联合极棒,打造了数据追踪挑战赛和黑客屋挑战赛两大命题专项赛,邀请广大极客选手参与到“打击网络黑产”、“防范智能家居漏洞”的任务当中。 据出题方腾讯安全反诈骗实验室透露,“数据追踪挑战赛”题型分为病毒样本识别和团伙识别两种,均采用了腾讯TRP-AI反病毒引擎检测的真实黑产数据,其中包括勒索软件DoubleLocker、锁屏病毒等危害较强的手机病毒,以及传播“伏地虫”木马程序,涉案案值达到三千万的APP恶意推广犯罪团伙等。 “黑客屋挑战赛”则真实还原了智能家居生活场景,由选手远程入侵智能路由器、网络摄像头、扫地机器人等设备,以此预演并防范智能产品的安全漏洞。腾讯安全移动安全实验室参与了该项挑战,通过给“主人”发送的一条钓鱼短信,完成了对多种智能家居设备的远程操控。据GeekPwn攻破挑战赛评委万涛介绍,“黑客屋”是极棒历史上第一次集合众多智能硬件,创造出模拟场景,破解环境的复杂度达到了前所未有的水平。 五年深度合作GeekPwn 腾讯安全积极推动安全社区建设 除了在本届GeekPwn赛事上带来精彩表现之外,腾讯安全也始终致力于推动安全社区的建立。一方面,腾讯安全保持对安全社区的持续关注和投入,通过组织极客赛事、发布前沿技术、参与比赛等形式打造国际前沿的技术交流平台;另一方面,腾讯安全团队将自身安全能力开放给各行各业,为建设数字安全新生态提供助力。 近年来,为了进一步提升自身在信息安全领域的视野和格局,腾讯安全积极建立全方位的网络安全技术能力——组建了国内首个互联网安全联合实验室矩阵,并推出腾讯守护者计划、CSS互联网安全领袖峰会、TCTF腾讯信息安全争霸赛,支持赞助了包括GeekPwn、Kcon、XCTF等国内外顶尖赛事及安全会议,并积极参与Pwn2Own、BlackHat、CanSecWest、DEF CON等多个重要国际知名网络安全技术盛会,持续推动自身技术和能力的提升、反哺行业。 与此同时,腾讯安全在助力政府机构以及合作伙伴解决安全问题、打造行业交流平台等方面取得的成果逐步显现。腾讯安全建立了“腾讯灵鲲金融安全大数据平台”,通过AI安全科技,协助政府完善金融监管、健全食品药品安全追踪、打击治理网络传销等;在智能网联汽车领域,2018年5月,腾讯安全科恩实验室获得宝马集团授予的全球首个“宝马集团数字化及IT研发技术奖”,堪称智能网联汽车安全生态构建的里程碑事件;2个月前,腾讯安全联合中国电子技术标准化研究院等政企事业单位举办了CSS2018互联网安全领袖峰会,搭建全球性互联网产业安全交流平台,汇集业内企业和机构共议网安议题。 作为GeekPwn2018的深度合作方,腾讯安全始终关注和致力于为相关领域的专业人士和技术爱好者提供切磋、交流的平台,以开放、合作、共享的心态,连接行业安全力量,助力解决各类安全问题。未来,腾讯安全将在AI、物联网等新安全领域持续发力,加速AI安全技术快速落地,构建全领域的合作对抗安全威胁、推进数字安全新生态的建设。 (责任编辑:海诺) |