中国程序员黑进iPhone系统，浙大女生秒破人脸识别系统

近日，科技圈最大的新闻莫过于GeekPwn2017国际安全极客大赛上发生的两件大事：一向以系统安全著称的iPhone iOS系统被中国程序员发现了极大的安全漏洞;90后浙大女学生150秒破解人脸识别门禁系统，黑了4款共享单车App。

中国程序员黑进苹果iOS系统

在10月24日，GeekPwn2017国际安全极客大赛上，中国选手Slipper介绍，用户只要在iPhone 8上面打开他制作的黑客链接，比如扫描二维码，用户的iPhone就能被他控制，然后他通过远程控制的方式，看到用户iPhone手机里面的照片，并在该手机上任意安装APP。

左边为中国参赛程序员Slipper

比赛开始前，评委现场打开一台未拆封的iPhone 8拍了一张带有一串数字的照片，如果Slipper最后报出相同数字，那么则为挑战成功。

接着，评委用iPhone 8扫描了Slipper提供的二维码，进入了他制作的链接。随后，该手机就被slipper远程控制了，他在自己的电脑上看到了该iPhone 8里的照片，并报出了准确数字，还偷偷地植入了一个“恶意app”。

原来，Slipper发现了iOS 11系统的安全漏洞，利用这个漏洞，他制作了能黑进iOS 11的链接。由此看来，使用iOS 11的iPhone 6s、iPhone 7和iPhone 8都可能面临安全风险。Slipper现场表示，他希望能进一步研究攻破机制，再将漏洞提供给苹果公司。

目前，苹果尚未对此事进行回应。

浙大女生秒破人脸识别系统

还是在24日的GeekPwn2017国际安全极客大赛上，毕业于浙江大学计算机专业的90后女生tyy仅用150秒攻破了人脸识别门禁系统。据悉，tyy也是利用了人脸识别设备的漏洞，直接修改设备中的人脸信息，实现用任意人脸来“蒙骗”人脸识别系统，打开门禁。

红衣女生为浙大女极客tyy

科技从业人士解释道，不管是人脸、指纹、声音还是虹膜，这些人类的生物特征都不适合作为远程身份验证的安全密钥。因为对于计算机而言，这些特征就是一串0和1组成的数字或者是一串密码，非常容易被仿造。而由于“刷脸支付”主要通过手机拍照后进行数据传输，可能在传输过程中受到黑客、病毒等攻击，也可能是系统后台服务器解析人脸信息的结果被篡改。

况且，“刷脸支付”如果被各家企业广泛使用，各企业参差不齐的技术实力也得人脸信息泄露的风险直线上升。

tyy补充道，这其实是她第二次参加GeekPwn比赛，在今年5月的GeekPwn年中赛上，她也展示了四款共享单车APP的高危漏洞。

在5月份的GeekPwn比赛现场，小鸣单车、永安行、享骑和百拜这四款共享单车的app被tyy轻松破解。客观上讲，她已经可以随意用别人的app远程骑车了，反正花的是别人的钱。当然，她表示自己不会这样做，因为对于极客来讲，发现漏洞进而破解系统才是最大的乐趣。此外，用户实名认证的各种个人信息也会在她破解APP后直接显示。

其实这样的比赛不仅仅是为了展示全世界极客的高超技术水平，也是为了让极客们发现漏洞，进而使应用系统的开发者来处理问题，提高系统安全性。

相关阅读：