转帖:刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?

Discussion in 'Quantum and Mind' started by wj2000, Oct 25, 2017.

  1. http://www.cebnet.com.cn/20171025/102436832.html
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
    专题库 来源:移动支付网 2017-10-25 09:14:10 支付  安全  黑客  刷脸  信息安全
    核心提示支付安全无小事,在移动支付时代,涉及支付的各个环节及支付技术都需要经得起考验。
      今天,GeekPwn2017国际安全极客大赛在上海拉开序幕,一群来自全球顶级的白帽黑客欢聚一堂,非常开心地分享、演绎了人工智能等科技发展带来的安全问题,不过却让不少相关企业乱了阵脚。据悉,每个挑战项目比赛限时20分钟,然而就是这短短的20分钟,却揭开了一个又一个支付安全漏洞。这一天,人脸识别的安全人设崩塌了,智能POS机被植入后门了,模拟声纹成功蒙骗手机声纹验证系统了,某电影淘票APP支付安全出问题了......不知道做支付的你还好吗?
      一、两分半钟,女黑客秒破人脸识别系统
      众所周知,现在人脸识别技术已广泛应用于门禁、考勤、支付等众多领域。作为GeekPwn2017第一个挑战项目,毕业于浙江大学计算机专业的90后女黑客“tyy”率先尝试破解 “人脸识别”项目。
      首先,评委在汉王人脸识别门禁系统中录入自己的面部信息,只有其自己可以完成门禁系统的解锁。而“tyy”经过两分半钟时间的入侵后,此前录入面部信息的评委已无法解锁门禁,但“tyy”走到门禁设备前,竟然成功解锁开启大门。
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
      据“tyy”介绍,本次破解主要是对设备的攻击,并不是AI层面的攻击,通过技术手段将此前录入的面部信息替换为自己的面部信息,同样可以达到破解效果。据说,“tyy”在此前曾经曝光过四款共享单车的高危漏洞,而破解门禁只是为了爱好。
      二、智能POS被植入后门,成功截获银行卡信息
      你以为刷卡支付时手捂着输入密码,银行卡密码就不会丢失吗?来自知名的盘古实验室告诉你,黑客可以利用POS机漏洞植入后门,成功复制你的银行卡信息,包括支付密码。
      比赛现场,盘古团队选用了目前市面占有率较高的一款智能POS作为攻击对象。利用POS终端的漏洞,盘古团队偷偷在智能POS机中植入一个后门,替换关键应用软件,然后就可以获得所有在POS机上的刷卡信息,包括支付密码。不过由于现场的蓝牙智能设备太多,导致信号传输干扰过大,盘古团队没有在规定的20分钟内完成挑战。最后通过改用有线连接方式进行数据传输,加时赛1分25秒,盘古团队成功读取银行卡信息、密码,并使用复制的新卡消费成功。
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
      智能POS机的安全设计哪个环节最容易出现漏洞呢?11月15日,将在深圳召开的2017第二届中国移动金融安全大会上,银行卡检测中心安全专家将以《智能POS终端常见的安全问题及设计要求》进行专题分享,届时可以更加详细解析智能POS的安全问题。
      三、模拟声纹“蒙骗”声纹识别系统
      声纹识别是把声信号转换成电信号,再用计算机进行识别。本次GeekPwn大赛中,有来自清华大学的“清晨李唐王”等五组选手向声纹识别手机验证系统发起挑战。
      现场,五组选手根据《王者荣耀》英雄人物——妲己的配音者所提供的声音样本,模拟了其声纹特征,合成一段“攻击”语音,对现场提供的四个具有声纹识别功能的设备发起攻击。 20分钟内,“清晨李唐王”成功破解三个声纹验证设备获得第一名,“神牛gogo”团队破解两个声纹验证设获得第二名,“SmartParrot”团队、“有点意思”团队也同样成功破解一个。
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
      作为生物识别领域中最常用的识别手段之一,现在声纹识别技术已经在智能手机、智能电视以及支付领域都有较高的普及率,而本次GeekPwn大赛也证实了针对声纹识别的攻击已经成为新的安全威胁。
      四、暴走的活体密码,生物识别被玩坏
      由于近两年生物识别应用广泛, GeekPwn大赛特设“人工智能安全挑战赛”专项,鼓励AI黑客以及AI领域相关研究团队参与,因此今天的GeekPwn大赛关于生物识别的挑战项目特别多。除以上的人脸和声纹识别技术被攻破之外,来自百度安全实验室的小灰灰、高树鹏向生物特征识别技术发起挑战,展示了指纹、虹膜、人脸等一系列生物识别破解技术。
      该挑战项目名称为《今儿起,暴走在外的你就是一个行动的活体密码》,直言就是每个人都有“十个指纹、两个虹膜、一张人脸”,这些暴露在外的信息一旦遭遇 PWN 就是严重威胁。现场,百度安全实验室用照片“克隆”评委人脸,并放在一个阴暗的纸箱里,降低纸片反光和降低手机镜头的识别度,成功欺骗三星某型号手机实现解锁。并利用 VR 设备复制了虹膜特征制成隐形眼镜,也一次解锁手机成功。
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
      不用多说,今天可能是生物识别技术被“黑”得最惨的一天了。不过GeekPwn对生物识别技术破解的展示,也让更多的厂商以及消费者关注到生物特征进行身份认证存在的风险。
      五、某电影淘票APP支付安全出问题
      移动互联网的发展,移动支付已经成为我们日常生活离不开的支付工具,从购物、订餐、看电影等等,都可以在手机上支付。这一次的GeekPwn大赛上,选手打算利用某电影淘票APP支付漏洞,请全国人民看电影。
      比赛现场,选手周君宇获得该APP未支付的订单号和金额后,利用APP服务端的漏洞,在不付款的情况下,顺利完成订单。值得一提的是,该APP在第二届GeekPwn黑客大赛上也曾被爆出平台漏洞,其Android版App有红包库存被盗刷的情况。
    刷脸被秒破、智能POS被植入后门,支付行业的你看了还好吗?
    写在最后
    支付安全无小事,在移动支付时代,涉及支付的各个环节及支付技术都需要经得起考验。本次极客大会所涉及的内容,皆是移动支付最前沿的技术,如果不能解决好安全问题,移动支付的未来是危机四伏的未来。
     
  2. 意外吗?!一点也不意外!!!!