0元購物、欺騙AI、充電泄密，2018網絡安全周騰訊安全頻現“黑科技”

9月17日，第五屆國家網絡安全宣傳周暨網絡安全博覽會在成都正式拉開帷幕，各參展商推出了多種網絡安全互動項目。騰訊安全聯合知道創宇、GeekPwn極棒等帶來的“超市0元購”“欺騙AI互動”和“手機充電樁竊密演示”吸引了一大批觀眾，在近距離的參觀和體驗后，許多觀眾表示這些技術不但新奇有趣，同時也刷新了他們對網絡安全的認知。

0元購物 一場針對超市收銀系統的網絡攻擊

在網絡安全博覽會，騰訊安全玄武實驗室展區十分特別，這里有一家“極客超市”。工作人員解釋，超市設置的目的是為了更加生動的還原互動項目。參與互動的觀眾可以在超市“選購”商品，到旁邊的收銀臺結賬時，神奇的事情發生了，付款金額變成了“0元”。

玄武實驗室的研究人員解釋到，這是一種針對超市收銀系統的無接觸攻擊手法。當前超市的收銀系統一般都會有專用的收銀電腦和與之相連的條形碼掃描設備。攻擊者使用特殊制作的激光設備，可以改變條形碼掃描器的掃描行為，更改電腦系統的收款金額，實現全程無物理接觸攻擊。體驗和目睹了“0元購物”的觀眾大呼驚奇。不過在演示和體驗結束后，玄武實驗室的安全研究人員也提醒在場觀眾，這種攻擊行為在使商家遭受損失時，不但擾亂市場秩序，顧客手機信息和資金安全也面臨風險。

被“欺騙”的AI  揭示圖像識別的安全風險

在AI（人工智能）領域，語音和圖像識別進展迅速。其中圖像識別作為新興的數據輸入及鑒別手段，已經出現在越來越多的應用場景中。GeekPwn極棒在展會現場就設置了AI圖片識別的觀眾互動，邀請觀眾選擇圖片，提交系統識別。在正常情況下AI系統都能準確的識別，但是，當對選定的圖片進行處理后（在人眼看來可能沒什么不同），AI圖像識別系統卻將一張大熊貓的圖片判定為“狗”。極棒的工作人員解釋到，這是使用了GAN（生成式對抗網絡，一種深度學習模型）而對AI系統造成的誤導所致。

這當然不是一個技術流的惡作劇，一些攻擊者會精心設計出視覺假象，誤導并誘使計算機作出錯誤判斷，或者失去判斷的準度。不單是將熊貓錯誤地識別為狗這么簡單，運用這種技術還可以針對音頻或者文字的識別進行誤導。這個例子提醒人們，在人臉識別、刷臉支付等技術逐步進入人們日常生活的背景下，針對圖像識別的誤導將可能產生嚴重的后果，需要充分認識人工智能算法技術被濫用而導致的安全問題。

“電量焦慮癥”的隱患 手機充電樁竊密過程揭秘

智能手機已經成為人們日常生活的一部分，電量便成為基本需求之一，出行時當手機電量低于20%時，有些人便開始出現焦慮情緒。為滿足公眾出行的充電需求，近年來機場車站等地的公共充電樁逐漸增多。但是公共充電設備背后，存在著巨大的安全隱患，通過布置竊密設備的公共充電設備，極易通過入侵手機對個人隱私、財產等造成損害。

在知道創宇展位，工作人員通過事先準備好的演示手機，接入被惡意改裝的公共手機充電樁，展示通過演示電腦進行竊取手機通訊錄、通話記錄、短信、控制攝像頭、遠程定位等攻擊過程。而觀眾可以在演示電腦上全程觀看整個攻擊流程。

許多觀眾表示，之前雖然一直聽說和在新聞中看到利用手機充電樁入侵手機的消息，但是都感覺離自己比較遙遠。這次親眼目睹了整個攻擊過程之后受到了很大的觸動。而知道創宇的工作人員也給出了防范措施，建議用戶不要隨意連接免費手機充電樁，必要情況下可以先用充電樁為充電寶充電，再給手機充電。此外，Android手機不要ROOT或開啟USB調試模式，iPhone保持iOS最新版本，不要隨意信任外部設備。雖然并不是使用公共充電樁就會受到攻擊，但用戶也要對此類風險保持警惕。

此外，在本次網絡安全博覽會中，騰訊安全聯合艦隊還通過現場大屏幕展示智慧共治平臺、3D態勢地圖、網絡安全態勢感知地圖等，向社會各界展示涵蓋助力政府機構、企業以及普通用戶的全領域網絡安全解決方案，以及落實“聯防共治”理念的最新嘗試和階段性成果，提高公眾對于網絡安全的認識，引起更多人對于網絡安全的重視。