4月27日，在一年一度的首都网络安全日系列活动上，阿里安全猎户座实验室资深安全专家侯客向澎湃新闻（www.thepaper.cn）记者演示了手机被“绑架”的过程：体验者手机连接加密公共Wi-Fi后瞬间变成了黑客用以监视用户的设备，用户本打算浏览的页面也被悄悄跳转。

侯客解释称，该技术原理实际是利用Wi-Fi协议的缺陷，在不连入目标网络的情况下注入加密数据欺骗终端，甚至在系统中查不到被监控的痕迹，攻击成本极低。

“这种情况下，用户根本毫无感知，看到的实际是黑客构造出来的虚拟世界。”侯客说。

他说道，阿里安全希望推动国际Wi-Fi联盟组织起草更加安全的协议草案 ，将这种风险扼杀在萌芽阶段。

这次活动也是阿里巴巴八大安全实验室的集体首秀，由双子座实验室、猎户座实验室、潘多拉实验室、归零实验室和钱盾反诈实验室、米诺斯实验室、图灵实验室以及蚂蚁金服光年实验室组成，涵盖如AI前沿技术、IoT安全、系统安全、应用安全、数据安全与隐私保护、反欺诈等技术，这些技术能力目前已为手淘、天猫、支付宝、闲鱼、优酷土豆等阿里旗下各个业务板块提供安全技术支撑。

其中，猎户座实验室关注源代码程序分析、智能漏洞挖掘与物联网安全攻防等，除了本文开头的Wi-Fi绑架手机实验外，猎户座实验室安全专家王康还现场演示了利用超声波攻击平衡车、从U盾中提取主密钥进行克隆等网络安全问题。

在唤起公众对网络安全严峻形势的认知后，阿里安全实验室这次也展示了一些解决方案，大部分应用于阿里系的平台。比如，通过3D合成“假脸”认证账号是网络黑色、灰色产业从业者虚假注册、刷单、诈骗的一种手段，这类现象覆盖了常见的交友、购物、网约车、网贷乃至线上政务系统等领域。去年11月，一批利用3D软件控制人脸照片，盗取驾照分的犯罪团队被警方批捕。但通过嘴形识别、脸运动匹配传感器、脸外观匹配照明、焦距恢复形状、人脸连续性检测、人脸视频脉搏检测等技术，阿里系平台应用的新型算法模型可以揪出“假人脸”。

此外，淘宝商家上传PS过的营业执照也是令人头疼的问题。双子座实验室安全专家刘永亮介绍道，算法可以抽丝剥茧，层层分析图片每个像素里的信息寻找修改痕迹。该算法同时应用于鉴别蚂蚁金服用户上传的保险理赔图片。

阿里安全实验室也展示了一些具有普遍应用场景、初步产品化的网络安全技术，比如反偷拍“神器”。它能通过链路分析检测到方圆二三十米内的偷拍摄像头，并进行掐断。

相关报道: