美女黑客揭秘：“无锁不开”女黑客——skye

听说世界上只有百分之3的人关注Jayson，很幸运你是其中一位

声称最安全的“指纹U盘”需要在确认主人的指纹后，才能读取保密部分的文件，可是黑客用自己制作的部件替换了U盘中辨认指纹的部分，并且改写读取保密文件的指令，就能在不需要获得指纹U盘主人指纹信息的情况下，获取指纹U盘里的保密文件。

你以为给办公室装上密码锁、摄像头就能保证电脑信息安全，却不知道黑客制作了机器人，能够从通风管进入，在房间里放置窃听器、遮挡干扰摄像头，并且由两个机器人配合，完成对电脑内文件的窃取。

机器人“特工队”

最新的智能锁很受普通用户欢迎，因为它们不需要钥匙，通过比对密码、指纹或者手机远程操控开关，可是在黑客面前，只要一个网络环境，就可以控制智能门锁网关，随心所欲地操控大门的开关……

这些好似科幻小说或科幻电影里的场景，这两天却在上海一处舞台真实上演。因为2018国际安全极客大赛（GeekPwn 2018）再次登陆上海，在10月24日和25日的两天里，来自世界各地的安全研究员、“白帽子黑客”（常指那些为了弥补安全漏洞而进行模拟攻击的黑客），组成黑客界“最强大脑”团队，攻破重重关卡与迷阵，上演了一场现实版“黑客帝国”。

在这次比赛上，解放日报·上观新闻记者遇到已经连续多年参加比赛的女黑客skye——毕竟在黑客的世界里，女性并不多，所以在男性为主的参赛选手中，漂亮的她非常显眼。

skye在赛场上

skye的正式身份是腾讯安全移动安全实验室参赛选手，此次参加的比赛是基于漏洞攻破挑战赛，主攻智能门锁破解。在比赛中，skye与三名同伴合作破解智能门锁，她主要负责寻找攻击入口，构造攻击路径以及合理化攻击场景。

面对比赛现场各种“脑洞大开”却又让人不寒而栗的黑客攻击场景，skye为记者进行了简单解读，同时也从网络安全研究人员的身份提醒，普通人对各种智能产品还需要多留一个新鲜，“相对而言，大品牌的产品较为可靠；而不乱连公共Wi-Fi、不乱扫二维码是防止黑客攻击的最基本的措施。”

“不断修复才能越来越安全”

skye今年25岁，毕业于国内某国防大学计算机专业，在校期间就熟练掌握计算机操作系统、编译原理、汇编语言等计算机基础课程，在研究生阶段，她还从事过人工智能技术的课题研究。出于对安全技术的热爱，她在校期间就很喜欢漏洞挖掘技术，特别是挖掘智能设备的漏洞挖掘。“‘挖漏洞’是一个不断突破自己思维的过程。你要不断的突破自己的思维，不仅要逆向思维、还要突破正向的一些开发思维。”skye破解过路由器、摄像头、智能门锁、自行车锁等智能设备，短短一年所挖掘的高危漏洞达50多个。不过在这些漏洞中，她觉得很难挑出“印象最深刻”的那个，因为“每一个都突破了自己思维”。

之所以在这次的比赛中她选择了智能门锁，因为可以借此让各界意识到智能设备也存在安全漏洞。Skye说：“现在物联网设备、智能设备比较火，所以大部分的黑客都会关注这部分。相比之下，只能门锁是物联网、智能设备中比较冷门的那个，但是智能门锁作为物联网中的家庭布局，是生命安全、财产安全的第一道防线，所以我选择了智能门锁。”

skye在比赛前的半年里就专注于智能门锁的安全机制研究。通过深入理解智能门锁系统，她往往能够在很短时间内挖出门锁的高危漏洞，发现攻击面，并创造简单新奇的攻击方式，轻易绕开门锁的安全机制，轻松“破门而入”。在半年内，skye攻破了十几款智能门锁，挖掘高危漏洞20多个，基本达到无“锁”不破的程度。

“漏洞挖掘多了，你会不会对这个世界充满不安全感？尤其是智能门锁都不安全。”记者将这个问题抛给skye。

“会有一点点吧！”她坦言，但立刻话锋一转：“但是我觉得，系统是人做的，不可能100%安全，所以需要我们去挖掘漏洞，然后修复，这样才会让世界变得越来越安全。”

所以面对诸多被自己攻破的智能门锁，skye认为公众也不需“因噎废食”：“消费者可以选一些大品牌的产品，因为他们比较关注自己的产品。我们发现漏洞，也会第一时间告诉这些企业，而他们反馈地业比较及时，立刻通过后台对漏洞进行弥补，产品也会迭代。最终，产品会变得越来越安全。”

人“攻”智能是为了更加安全

skye的破解智能门锁只是今年极棒大赛中的一个亮点。很多安全研究员或白帽子黑客也展示了其他智能设备中的安全漏洞：

你以为智能手机中相册加密，别人就看不到吗？来自AMC团队杨志伟、胡强成功完成手机私密相册的破解挑战。他们利用手机操作系统的漏洞，通过在手机中安装一个恶意app，root权限执行任意命令，从而实现在手机中静默安装木马。他们说，有了这样的木马，即便相册密码再长、再复杂，都能被黑客攻破。换句话说，用户不轻易“扫一扫”或随意下载app，是防止这类攻击的有效办法。

你能想象一张纸就能打开安卓手机的屏下指纹锁？腾讯安全玄武实验室就现场演示了一番：安全研究员通过一张普通的卡片，可以让任何人对手机的屏下指纹进行解锁。因为目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像，而安全研究员通过反射体欺骗的方法，利用屏幕上残存的指纹痕迹，让屏下指纹传感器误认为手机的主人正在使用指纹验证。据悉，该漏洞属于屏下指纹技术设计层面的问题，几乎无差别地影响所有使用屏下指纹技术的设备。但让用户安心的是，腾讯安全玄武实验室发现这一楼洞后，从今年初开始和国内几家主流手机厂商合作，不仅通过更新算法修复了已上市手机中的漏洞，还将相关解决方案提交给相关芯片厂商，推动供应链层面的安全修复。

安全研究员和白帽子黑客在研究“进攻”方式

极棒大赛发起和创办人、安全公司KEEN公司首席执行官王琦表示，“人工智能”一词近来很火，但极棒大赛堪称“人‘攻’智能”，但“人‘攻’智能”的目的是为了帮助更多的生产商防范漏洞。创办五年来，极棒带赛带来了许多破解展示，向厂商提交了近千个严重安全威胁漏洞，绝大多数漏洞并未在现实生活中爆发危害就已经被提前消灭。他觉得，这才是极棒大赛的意义：“漏洞从来不是因为黑客才存在，恰恰是被黑客发现后消灭的。极棒要让更多人关注到智能生活中安全问题的重要性。人“攻”智能不是目的，我们这些年的努力，是为了让更多的人可以享受智能生活，让黑客带给我们更安全的光明和未来。”

腾讯高级副总裁丁珂也表示，腾选安全与极棒也进行了五年的深度合作，目的也是希望以前瞻和敏锐的黑客思维去探索、发现世界的新规律，最终建立安全的网络环境、安全社区：“一方面，腾讯安全保持对安全社区的持续关注和投入，通过组织极客赛事、发布前沿技术、参与比赛等形式打造国际前沿的技术交流平台；另一方面，腾讯安全团队将自身安全能力开放给各行各业，为建设数字安全新生态提供助力。”

跟着Jayson玩耍看世界，带你装逼带你飞。喜欢的观众老爷可以点波关注，Jayson在此跪拜。记得点赞，点赞，点赞！还有底部广告呀~