当你戴着蓝牙耳机听音乐 ， 音乐突然中断几秒 ， 随后恢复正常 。 这几秒钟会发生什么？或许是常见的连接中断 ， 也或许 ， 你的耳机已经被偷偷改装成一个“定位追踪器”连接到黑客的电脑 。 只要戴着耳机 ， 你的足迹在黑客那里一览无余 。
10月24日晚 ， 这样的黑科技挑战在安全极客盛宴——GeekPwn2021极棒之夜上演 ， 引发全场惊呼 。 本届大赛汇集了全国20组顶尖的安全极客团队 ， 他们从AI、产业、智能生活的细节中挖掘容易被忽略的安全漏洞 ， 在舞台上给观众呈现了一场“匪夷所思”的科技秀 。

文章图片

极棒之夜颁奖典礼 。 图自主办方
耳机、汽车、保险箱、送餐机器人……黑客无孔不入
来自腾讯安全玄武实验室的选手对蓝牙耳机发起挑战 ， 在耳机中写入代码植入定位功能 ， 通过算法实时记录行动轨迹 ， 实现远程定位跟踪 。 在现场 ， 选手检测到50米之外的戴蓝牙耳机的目标人物 ， 仅用了几十秒 ， 就将定位功能植入对方耳机 。
智能化硬件的风险不止于此 ， 各种联网设备在GeekPwn大赛中都被攻击成功 。 例如 ， 通常被人们认为最“保险”的保险箱 ， 在比赛现场被极客轻松破解 。 这是一台从市场上买的可以联网的保险箱 ， 一位观众在现场为保险箱设置了新密码 。 舞台的另一端 ， 一位极客在电脑上敲下代码 ， 几十秒后 ， 极客走到保险箱前 ， 没有输入密码 ， 保险箱竟被轻松拧开 。

文章图片

选手使用恶意代码打开保险箱 。 图自主办方
在车联网迅速普及的当下 ， 数字钥匙变得普遍 。 在比赛中 ， 有选手通过远程攻击破解了某租车平台的数字钥匙 ， 只要提供车牌号码 ， 选手就能无视地理限制 ， 对平台上的汽车进行解锁、开关车窗及空调等操作 。
医疗领域 ， 野生极客曾颖涛带来了一项通过控制胰岛素泵来突破其原有注射设置的挑战 。 选手通过蓝牙侵入胰岛素泵的控制器 ， 修改了原有的注射设置 ， 用几秒钟就将加大注射剂量的胰岛素全部推出 。 这种情况如果发生在现实中 ， 将对病人的生命造成严重威胁 。
智能家居领域 ， 越来越普遍的家庭摄像头 ， 在选手的攻击下成为了窥探隐私的工具；武影安全实验室的选手则是利用漏洞成功攻破家庭智能网关 ， 并伪装成物业打开单元门禁 。
除此之外 ， 在GeekPwn2021的舞台上 ， 酒店送餐机器人、企业内部打印机、电视机顶盒等和智能生活息息相关的挑战轮番上演 。 例如 ， 有选手通过入侵酒店送餐机器人的系统 ， 将恶意代码植入 ， 能将客人的外卖轻松“调包” 。 选手介绍 ， 更具威胁的场景是 ， 通过控制送餐机器人的运行 ， 黑客将可能使一部电梯瘫痪 。
【戴蓝牙耳机可能被黑客定位！这场极客大赛揭示安全风险有多大】在展示和比赛之外 ， GeekPwn大赛负责人杨泉表示 ， 希望能通过GeekPwn大赛揭示安全问题 ， 自下而上地推动厂商修复安全漏洞 ， 这是更具意义的 。
连续5年人脸识别挑战 ， 从“如何骗”到“不被骗”
在去年的GeekPwn大赛上 ， 有极客曾挑战“破解”人脸识别系统 ， 只需要戴上一只印有特定图案的口罩 ， 就可以让人脸识别系统把自己识别成目标人物 。
随着用照片破解人脸识别的风险凸显 ， 不少人脸识别系统会增加活体检测技术来给系统上“双保险” ， 而在今年的GeekPwn大赛上 ， 选手向观众证明 ， 活体检测也并不是绝对安全 。 在“眼镜易容术”项目中 ， TSAIL战队的选手利用AI算法生成的照片制成眼镜 ， 成功“欺骗”了系统 ， 通过了人脸识别活体检测 ， 让AI“变笨” 。