今天，GeekPwn2017國際安全極客大賽在上海拉開序幕，一群來自全球頂級的白帽黑客歡聚一堂，非常開心地分享、演繹了人工智能等科技發展帶來的安全問題，不過卻讓不少相關企業亂了陣腳。據悉，每個挑戰項目比賽限時20分鐘，然而就是這短短的20分鐘，卻揭開了一個又一個支付安全漏洞。這一天，人臉識別的安全人設崩塌了，智能POS機被植入后門了，模擬聲紋成功蒙騙手機聲紋驗證系統了，某電影淘票APP支付安全出問題了......不知道做支付的你還好嗎?

　　一、兩分半鐘，女黑客秒破人臉識別系統

　　眾所周知，現在人臉識別技術已廣泛應用于門禁、考勤、支付等眾多領域。作為GeekPwn2017第一個挑戰項目，畢業于浙江大學計算機專業的90后女黑客“tyy”率先嘗試破解 “人臉識別”項目。

　　首先，評委在漢王人臉識別門禁系統中錄入自己的面部信息，只有其自己可以完成門禁系統的解鎖。而“tyy”經過兩分半鐘時間的入侵后，此前錄入面部信息的評委已無法解鎖門禁，但“tyy”走到門禁設備前，竟然成功解鎖開啟大門。

　　據“tyy”介紹，本次破解主要是對設備的攻擊，并不是AI層面的攻擊，通過技術手段將此前錄入的面部信息替換為自己的面部信息，同樣可以達到破解效果。據說，“tyy”在此前曾經曝光過四款共享單車的高危漏洞，而破解門禁只是為了愛好。

　　二、智能POS被植入后門，成功截獲銀行卡信息

　　你以為刷卡支付時手捂著輸入密碼，銀行卡密碼就不會丟失嗎?來自知名的盤古實驗室告訴你，黑客可以利用POS機漏洞植入后門，成功復制你的銀行卡信息，包括支付密碼。

　　比賽現場，盤古團隊選用了目前市面占有率較高的一款智能POS作為攻擊對象。利用POS終端的漏洞，盤古團隊偷偷在智能POS機中植入一個后門，替換關鍵應用軟件，然后就可以獲得所有在POS機上的刷卡信息，包括支付密碼。不過由于現場的藍牙智能設備太多，導致信號傳輸干擾過大，盤古團隊沒有在規定的20分鐘內完成挑戰。最后通過改用有線連接方式進行數據傳輸，加時賽1分25秒，盤古團隊成功讀取銀行卡信息、密碼，并使用復制的新卡消費成功。

　　智能POS機的安全設計哪個環節最容易出現漏洞呢?11月15日，將在深圳召開的2017第二屆中國移動金融安全大會上，銀行卡檢測中心安全專家將以《智能POS終端常見的安全問題及設計要求》進行專題分享，屆時可以更加詳細解析智能POS的安全問題。

　　三、模擬聲紋“蒙騙”聲紋識別系統

　　聲紋識別是把聲信號轉換成電信號，再用計算機進行識別。本次GeekPwn大賽中，有來自清華大學的“清晨李唐王”等五組選手向聲紋識別手機驗證系統發起挑戰。

　　現場，五組選手根據《王者榮耀》英雄人物——妲己的配音者所提供的聲音樣本，模擬了其聲紋特征，合成一段“攻擊”語音，對現場提供的四個具有聲紋識別功能的設備發起攻擊。 20分鐘內，“清晨李唐王”成功破解三個聲紋驗證設備獲得第一名，“神牛gogo”團隊破解兩個聲紋驗證設獲得第二名，“SmartParrot”團隊、“有點意思”團隊也同樣成功破解一個。

　　作為生物識別領域中最常用的識別手段之一，現在聲紋識別技術已經在智能手機、智能電視以及支付領域都有較高的普及率，而本次GeekPwn大賽也證實了針對聲紋識別的攻擊已經成為新的安全威脅。

　　四、暴走的活體密碼，生物識別被玩壞

　　由于近兩年生物識別應用廣泛， GeekPwn大賽特設“人工智能安全挑戰賽”專項，鼓勵AI黑客以及AI領域相關研究團隊參與，因此今天的GeekPwn大賽關于生物識別的挑戰項目特別多。除以上的人臉和聲紋識別技術被攻破之外，來自百度安全實驗室的小灰灰、高樹鵬向生物特征識別技術發起挑戰，展示了指紋、虹膜、人臉等一系列生物識別破解技術。

　　該挑戰項目名稱為《今兒起，暴走在外的你就是一個行動的活體密碼》，直言就是每個人都有“十個指紋、兩個虹膜、一張人臉”，這些暴露在外的信息一旦遭遇 PWN 就是嚴重威脅?，F場，百度安全實驗室用照片“克隆”評委人臉，并放在一個陰暗的紙箱里，降低紙片反光和降低手機鏡頭的識別度，成功欺騙三星某型號手機實現解鎖。并利用 VR 設備復制了虹膜特征制成隱形眼鏡，也一次解鎖手機成功。

　　不用多說，今天可能是生物識別技術被“黑”得最慘的一天了。不過GeekPwn對生物識別技術破解的展示，也讓更多的廠商以及消費者關注到生物特征進行身份認證存在的風險。

　　五、某電影淘票APP支付安全出問題

　　移動互聯網的發展，移動支付已經成為我們日常生活離不開的支付工具，從購物、訂餐、看電影等等，都可以在手機上支付。這一次的GeekPwn大賽上，選手打算利用某電影淘票APP支付漏洞，請全國人民看電影。

　　比賽現場，選手周君宇獲得該APP未支付的訂單號和金額后，利用APP服務端的漏洞，在不付款的情況下，順利完成訂單。值得一提的是，該APP在第二屆GeekPwn黑客大賽上也曾被爆出平臺漏洞，其Android版App有紅包庫存被盜刷的情況。

    寫在最后

    支付安全無小事，在移動支付時代，涉及支付的各個環節及支付技術都需要經得起考驗。本次極客大會所涉及的內容，皆是移動支付最前沿的技術，如果不能解決好安全問題，移動支付的未來是危機四伏的未來。

責任編輯：Rachel