iPhone 8刚上市，已经被中国“白帽黑客”发现了安全弊端 。

10月24日，GeekPwn2017国际安全极客大赛在上海举行 。一位中国选手现场演示了利用 本身 发现的苹果公司最新上市的手机iPhone 8最新体系 弊端 ，在用户打开黑客的链接后，黑客就能得到 iPhone 8最高权限，偷取 用户手机内的照片，并在手机中安装非来自于苹果官方App Store的应用。

由于iPhone 8采取 最新的iOS 11体系 ，这也意味着，从iPhone 6s到iPhone 7到iPhone 8都大概 面对 安全风险。

不到20分钟，iPhone 8被长途 破解

为了确保参赛手机未被动过手脚，主理 方特地 拿来一台全新的iPhone 8。

参赛选手Slipper先容 ，用户只要在iPhone 8内里 打开黑客的链接，比如 扫描二维码，用户的iPhone就能被控制，黑客通过长途 控制的方式，就能看到用户iPhone手机内里 的照片。

比赛 开始前，评委事先拍了一张带有一串数字的照片，假如 Slipper末了 报出雷同 数字，那么挑衅 乐成 。

比赛 开始后，评委用iPhone 8扫描了Slipper给出的二维码，进入了链接，随后slipper举行 长途 控制，但由于现场Wi-Fi不稳固 （大概 遭到干扰），毗连 断线。slipper随后举行 了第二次实行 。

在倒计时20分钟竣事 前数十秒钟，Slipper乐成 偷到iPhone 8里的照片，并报出了正确 数字。为了证明 本身 是黑进了体系 ，Slipper还偷偷植入了一个“恶意app”。

安全公司KEEN首席实行 官、GeekPwn大赛发起人和评委王琦表现 ，假如 不是现场Wi-Fi的题目 ，这个攻破应该是在一分钟内就能搞定。2013年，在天下 顶级信息安全比赛 Pwn2Own上，Keen就花了不到30秒，就率先破解了当时 苹果最新的iOS7.0.3体系 。

攻破iPhone 8的参赛选手Slipper

按常理，GeekPwn选手都会将弊端 通过比赛 主理 方提交给厂商，但Slipper表现 ，盼望 能进一步研究攻破机制，再将弊端 提供给苹果公司。他也同时答应 ，“固然 ，我不会做坏事。”王琦表现 恭敬 选手个人意见。

Slipper说，他本身 从前 不消 iPhone，只给女朋侪 买过iPhone，通过研究女朋侪 的iPhone手机，他发现，iPhone并没有想象中安全。Slipper提示 各人 ，平常 用手机密 养成好的风俗 ，不要乱扫二维码，乱点链接。

由于这一攻破刚刚竣事 ，苹果尚未给出回应。

苹果向来 对iOS的安全性很器重 ，也能付更多报酬，对找出iOS弊端 的白帽黑客最高可以嘉奖 20万美元。

GeekPwn还显现 了哪些隐蔽 的安全题目

作为环球 最大关注智能生存 的黑客大赛，GeekPwn2017 以“解构举措 ”为主题，将于10月24日及11月13日分别在中国上海及美国硅谷举行 。环球 顶级黑客将汇聚中国上海和美国硅谷，带来四场脑洞巨大的竞技和展示：人工智能安全挑衅 赛、AI仿声验声攻防赛、I-CTF(工控夺旗攻防赛)决赛、无规则智能生存 Pwn。

每年的GeekPwn都能吸引安全圈的大牛。本年 ，腾讯、百度、华为、小米、摩拜单车等互联网公司的安全团队都来到现场关注这一赛况。

警惕 ！刷脸面对 安全挑衅

90后女黑客两分半钟攻破人脸辨认 体系

毕业 于浙江大学盘算 机专业的90后女黑客“tyy”，演示了人脸辨认 装备 的弊端 。通过利用 装备 本身 存在的弊端 ，选手仅用时两分半钟，就乐成 实现了用恣意 人脸通过门禁体系 。

90后女黑客“tyy”演示了人脸辨认 装备 的弊端

如今 ，“刷脸”已经成了人们生存 中必不可少的一件一样平常 事件 ，从移动付出 、解锁手机，到公司、学校、小区门禁，乃至 火车站乘车 、公园领取厕纸都运用到了人脸辨认 技能 。但是，技能 发展带来便利的同时也大概 带来安全风险。当门禁用上了高科技，岂非 真的可以“高枕无忧”了吗？当呆板 通过看脸就认出你是谁，别人就不能假冒 你了吗？

对此，“tyy”在现场先容 ，人脸辨认 体系 并不是十拿九稳 。利用 装备 弊端 ，攻击者就可以直接修改装备 中的人脸信息，实现用恣意 人脸来“蒙骗”人脸辨认 体系 ，打开门禁。

着实 ，这是“tyy”第二次来到GeekPwn的舞台，在本年 5月GeekPwn年中赛上，她就展示了四款共享单车品牌的高危弊端 。谈及二度参加 比赛 的初志 ，“tyy”表现 ：“好奇心让我决定开始研究新的范畴 ，理智告诉我肯定 要带着弊端 上GeekPwn。”

警惕 ！你的声音会被呆板 “偷走”干坏事

黑客可以或许 诱骗 并通过“声纹锁”的验证

通过一段合成的语音，你的声音竟然能被呆板 “偷走”？ 10月24日，GeekPwn在国内首创的“AI仿声验声攻防赛”的挑衅 环节中，“maxmon”、“SmartParrot”、“有点意思”、“神牛gogo”以及来自清华大学的“朝晨 李唐王”等五组选手开释 脑洞，化身语音合成“机器 师”，共同向声纹验证体系 发起挑衅 。

“朝晨 李唐王”乐成 破解三个声纹验证装备 得到 第一名。

黑客让“芝麻开门”变成 “西瓜开门”

声纹辨认 渐渐 成为将来 生物辨认 的主流，而声纹判定 已成为刑事司法中有效 证据。但这种安全掩护 形势是否真的安全可靠？在GeekPwn2017的现场，选手表现 ，依托生物特性 的辨认 体系 更轻易 遭到黑客的攻击。针对声纹辨认 的攻击已经成为新的安全威胁。

五组选手根据《王者光彩 》好汉 人物——妲己的配音者所提供的声音样本，模仿 了其声纹特性 ，合成一段“攻击”语音，对现场提供的四个具有声纹辨认 功能的装备 发起攻击，诱骗 并通过“声纹锁”的验证。

王琦表现 ，GeekPwn盼望 通过如许 的比赛 情势 ，提前预演人工智能范畴 大概 存在的安全威胁并帮忙 厂商修复，掩护 人工智能康健 发展。

“我们出于一种好奇，大概 是一种担心 ，这里会不会有题目 ，那边 会不会出题目 。我不以为 这种担心 是一种悲观 主义，由于 安全题目 从来不是由于 黑客才存在的，恰好 是由于 黑客发现而被清除 。”王琦说。