在GeekPwn2017国际安全极客大赛上过“节”是一种什么体验？

“1024”这天，世界各地的天才黑客，在GeekPwn2017国际安全极客大赛上，上演了别样的“程序员节”。

GeekPwn2017国际安全极客大赛

“骗过”人脸识别门禁、独一无二的声音被机器”偷走”、汽车被他人控制、3D打印机模仿真人笔迹写下的欠条难分真假、银行卡密码不翼而飞、iOS 11系统漏洞首次纰漏……一系列令人惊掉下巴的攻防秀，再一次将影片中出现过的“画面”搬到了现实。

KEEN公司CEO、GeekPwn大赛发起和创办人王琦在致辞中表示，鼓励安全极客的创新尝试，并呼吁更多极客和厂商，关注安全问题，加入到极棒的平台，共同保护未来安全。

KEEN公司CEO、GeekPwn大赛发起和创办人王琦

同时，王琦也吐露了自己的心声，“真心希望研究安全的人能好起来，人好起来整个安全行业才能好起来，漏洞才能少起来，人们的生活才能更加安全起来”！

好了，闲言少叙，让我们再次回顾下赛场上，那些令人亮眼的攻防秀：

不靠整容，陌生人能突破的限制闯入公司么？

开场第一个破解秀，居然是一个看上去“人畜无害”的萌妹子，用时仅仅两分半钟，就成功实现了用任意人脸通过门禁系统。这位毕业于浙江大学计算机专业的90后女黑客”tyy”，再一次刷新人们对黑客的认识，萌妹子破解起来一点也不含糊！

为了便于人们处理生活、工作上的一些事务，人脸识别已经广泛应用于移动支付、手机解锁、门禁出入以及公园领取厕纸等等，但在技术发展带来便利的同时也可能带来新的安全风险。

据“tyy”在介绍，人脸识别系统并非万无一失，不法分子利用设备漏洞，攻击者就可以直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，进出如入无人之境。

手捂着输密码，银行卡密码就不会丢吗？

这个场景是模拟大家日常生活中，用银行卡刷POS机会遇到的安全问题。由于会场蓝牙设备众多，利用无线的方式来攻破POS机的挑战并没有在规定的时间内完成。而现场观众提出再多给选手5分钟时间，主办方应大家的呼声，选手更换另外一种数据线连接的方式，很快就获取了用户的账号和密码等个人隐私信息。

在会后采访中了解到，看上去不太会在生活中出现的场景，其实存在非常高的安全隐患，不法分子利用一些手法，趁收银员不注意时就能轻松将木马程序注入POS机，之后再刷卡的用户信息便会源源不断输入黑客指定的服务器中，复制卡片信息即可实现盗取用户钱财的目的。

小心啦！你的声纹验证手机可能被别人解锁

数字信息化的发展，使声纹识别逐渐成为未来生物识别的主流，而声纹鉴定已成为刑事司法中有效证据。但这种安全保护形势是否真的安全可靠？在GeekPwn2017的现场，参赛选手表示，依托生物特征的识别系统更容易遭到黑客的攻击，针对声纹识别的攻击已经成为新的安全威胁。

在本次GeekPwn2017”AI 仿声验声攻防赛”上，五组选手根据《王者荣耀》英雄人物——妲己的配音者所提供的声音样本，模拟了其声纹特征，合成一段”攻击”语音，对现场提供的四个具有声纹识别功能的设备发起攻击，欺骗并通过”声纹锁”的验证。

为什么我的电视被插播了奇怪的东西？

该攻破秀是模拟生活中，家中电视被非法插播其他内容的场景。场上的两组选手分别攻击两台路由器。而路由器是当前家中上网的一个入口，当黑客入侵家里的WiFi后，通过获取路由的ROOT权限，进而对接入网络的智能设备进行攻击。

其中一组选手展现的是对路由器上网进行DNS劫持，这样用户在打开任意网址时，都会访问黑客让你访问的地址；另外一组选手，主要展示的是对路由播放的视频进行劫持。

从6到8，水果手机照片被盗，这是传说么？

这个项目的攻击目标是苹果最近刚刚推出的iPhone 8手机，通过远程的攻击方式，受害者只要打开攻击者控制的链接，浏览某个网站，其手机便已经被黑客所控制。

生活中常见的场景就是一个二维码，当用户扫描二维码自动打开一个链接，只要受害者点了该链接，不法分子便可对手机发起攻击。因此，在日常生活中，对于不确定的二维码，或者手机短信收到的链接地址，都要非常慎重，以免个人财产受到损失。

我用它看着喵，有人用它看着我！

这个闯关挑战主要是攻击网络摄像头，参赛选手通过黑进摄像头来达到比赛要求。据大会评委万涛介绍，令他比较深刻的是一个叫《网络犯罪调查》的美剧，第一季有讲到网络摄像头，原本父母希望通过摄像头来看孩子，结果黑客通过黑进摄像头，来观察家中是否有人，借此实现偷孩子的目的。

因此，在现实生活中，在选择网络摄像头产品时要非常慎重，而近两年时有新闻曝光摄像头被不法分子入侵的消息，尤其在卧室、卫生间等私密空间，尽可能的避免放置网络摄像头。

我请全国人民看电影的梦想，能够实现吗？

这个项目听上去是一项非常“有趣”的事情，请全国人民看电影？别多想，参赛者或许不差钱，但作为一名“黑客”，如果花钱请人看电影说出去一定不是一件光彩的事情。该项目演示的情景是攻击手机上一款互联网购票软件，以实现零元购票的“目标”。

说到这里，想必大家明白为啥能请全国人民看电影了吧！虽然在攻击APP过程中出了一个小小的插曲，但最后评委还是认定这个环节的挑战是成功的。

有人在我车外贴了个东西，汽车就失控了

来自安恒信息海特实验室的选手制作了仅有两枚硬币大小的”攻击”盒子，将其放在汽车底盘，同时通过车载智能盒子的漏洞，用一条短信就能实现在任何地方操控这辆汽车在行驶中急停，亦或让车子打不着火。

一旦行驶中的车子受到攻击，这将是一件非常可怕的事情，仿佛《速度与激情8》电影中出现的画面，所有的车子都受到黑客的控制，为所欲为。

机器人学会了握笔写字，但TA能够代替你的签名么？

这是一项非常惊艳的展示，起初笔者并不认为机器人能模仿出与人类如此相像的字体，毕竟每个人每次书写的字体都会所有变化，更别说让机器来模仿人了。

而最后展示的结果非常令人吃惊，通过专业的辨别字体的专家也很难识别出哪个是机器人写的，哪个是人写的，真是非常相似，惟妙惟肖。

据介绍，该机器人所应用的技术是基于GAN，也是深度学习的一种能力。通过自身不断的模仿与对比，直至及其自身都辨别不出来以后，就默认模仿成功了。而最终呈现的结果也是这样，确实真假难辨，彻底颠覆了“立字为证”这个说法。

没有点安装，我的手机怎么偷偷被植入了木马

这个攻破秀是攻击一款某品牌的最新Android手机，通过向手机安装木马，已达到篡改手机内照片的目的。其生活中常见的场景依旧是手机短信接收到的莫名地址，在此再次提醒大家，对于陌生链接一定不要随意点开。

从今儿起，暴走在外的你就是一个行动的活体密码

这个攻破秀看上去有点吓人，行动的“我”又是如何成为活体密码的呢？在生活中，为了便于人们应用，用生物识别技术替代了过去应用密码保护账号的方式，如指纹、刷脸、虹膜，这样做是否真的可靠呢？

在这场秀中，由于种种原因，指纹攻击并没有实现，但刷脸和虹膜都被一一攻破了。可见，生物识别特征也并没有那么安全。

放在网络存储设备里的影片是怎么泄露了？

这个项目的选手要攻击一款使用率很高的家用存储设备，在图片和信息大爆炸时代，家用存储的市场慢慢壮大，家庭成员的手机、电脑和数据共享，一般都依赖这样的存储设备来实现。

据选手介绍，其攻击所应用的是一个命令执行漏洞，通过植入一个木马，利用木马将数据偷出来，并且这个型号的设备在全球就有75万台。如此多的家庭存储设备，其内部存储的资料都面临极大的安全隐患，想想还是非常后怕。

正因为有这些“黑客”，人们才能更安心的生活

看到GeekPwn2017国际安全极客大赛上展示的攻防秀，是不是对未来充满了恐惧？尤其在当前人工智能技术得到飞速发展的时代，未来可以说是一切皆有可能，人们是不是即将处于水深火热之中？

其实恰恰相反，正是因为有了这些“黑客”的存在，及时发现如此之多的漏洞问题，迅速反馈给企业，企业及时修补漏洞，才能有效的避免漏洞对人们的财产带来损失。

正如王琦所说的那样：“安全问题从来不是因为黑客才存在的，恰恰是因为黑客发现而被消灭”！