看完黑客大赛,真真是吓死宝宝了
10月24日,这是一个特殊的日子,你一定懂得(1024)。
GeekPwn 2015嘉年华,选择了这样一个特殊的日子在上海举行,有点意思。这是一场被业内誉为“黑客奥运会”的国际性智能软硬件挑战赛,由国内顶尖安全团队KEEN主办,超过40款主流软硬件产品成为选手攻破对象,移动支付、O2O、智能家居等领域的安全问题,再次成为行业关注的焦点。
这是一个神秘的领域,官方资料显示,GeekPwn是国际性的智能生活安全社区,是连接国内外安全、促进技术交流的桥梁,发现和输出优秀人才的平台,促进安全生态健康发展的力量。GeekPwn其中Geek译为极客,Pwn译为“攻破设备或者系统”,GeekPwn译为“极棒”,字面意义是“极客攻破新设备和系统”。它聚焦于智能设备领域同时,致力于为“以创新、技术和时尚为生命意义”的极客打造一个展示交流的舞台,从而引领未来科技、智能生活和时尚潮流。
听起来很神秘炫酷吧?更过瘾的还在后头呢。
1024这天,一架大疆无人机在GeekPwn评委“老鹰”的操作下起飞,按照评委的遥控指令稳定飞行。这时,评委突然将无人机遥控器放置在一边。不料,此时无人机却自行改变航线……意思就是这架无人机被黑客劫持了。据劫机者称,他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。
你或许会说,无人机就是个玩具,劫了就劫了,有啥大不了的。看完下面这个场景,你就不会这么说了。
一名黑客通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡(如招商银行卡)完成一次查询余额的动作,之后会将交易信息劫持下来,然后用另一张卡(如公积金卡)去刷卡转帐,输入任意密码就可以转走前面招行卡上的余额。
不只是拉卡拉,在当天的演示中,白帽黑客利用SSL互联网底层协议的未知漏洞,在用户不知不觉中查询余额和消费记录,个人隐私也都一览无遗。在GeekPwn智能软硬件破解大赛现场,选手还轻松攻破了盒子支付POS机,通过银联账户交易系统,黑客可以盗刷用户银行卡。
看完这段之后,是不是感觉后背发凉呢?接着看……
黑客还现场演示了,如何利用嘟嘟美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。还进行了利用“阿姨帮”系统未知漏洞,进行任意充值的的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。黑客还成功演示了攻破极速在线选座购票平台微票儿等O2O服务平台。并且,黑客还可以在获知用户信息,例如手机号、家庭住址、平台账号等,威胁到用户的财产和人身安全。对于已深入渗透大众生活的O2O平台来说,此次GeekPwn智能软硬件挑战赛无疑是一次高效率、零成本完善产品的机会。
不仅O2O产品被一一攻破,就连正在走入寻常百姓家的智能家居类产品也未能幸免,黑客现场演示证明,可以让智能摄像头变成侵犯用户隐私的道具,也就是说,你家按照的摄像头,根本就不听你的指挥而是成为黑客的玩具。黑客还现场演示了如何攻破你家的智能烤箱,随意调节其温度、频率等。想象一下,电影中烤箱爆炸的情景或许真的可能在现实生活中上演并威胁生命安全。
这还没完,如今人手一部的智能手机,也未能幸免。现场演示中,包括小米、华为等主流手机品牌纷纷被黑客攻破。他们通过在手机上安装一个普通权限的app,利用本地提权漏洞获取系统权限后,该app会替换手机的开机画面。
多名黑客演示了360、小米、联想、D-link、TP-link等十个品牌的路由器被攻破的场景,三组参赛选手分别选择了某电商网站十款销量最高的路由器,利用智能路由器的未知漏洞,完成获取ROOT权限,演示本来要打开正常的GeekPwn官网,却链接到另外一个黑客山寨的被PWN掉的GeekPwn官网。
现在知道了黑客的厉害了吧?幸亏,他们不是你所理解的“黑客”,而是“白帽子”。何为“白帽子”?他们是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。所以,以上场景均是在特定环境下的演示,而非真正去作恶。
GeekPwn的“白帽子”表示,智能家居软硬件如果被攻破,不仅会产生以上的安全隐患,你还可能在睡梦中被忽明忽暗的灯光惊醒;在不经意间,用以远程操作的手机APP被不法分子入侵,个人信息被尽收眼底;智能门锁被任意操控,大门洞开……各种家居智能设备都可能成为噩梦,期望的智能安全生活将被搅的一塌糊涂。
GeekPwn嘉年华的评委则认为,除了大众应对信息安全产生足够的重视,厂商更应如此。事实上,作为智能家居的厂商们,面对信息安全与智能安全的隐患已作出了积极的回应,他们会通过各种渠道与信息安全人员合作,希望能够及早发现产品漏洞,并将隐患扼杀在摇篮中。
GeekPwn主办方KEEN公司CEO王琦表示,其初衷也是“以攻为防”,“坚持科学中立的评判和负责任的漏洞披露原则”是GeekPwn始终坚持的。据悉,在GeekPwn参赛项目确定前,组委会邀请所有项目涉及的厂商现场观看,对厂商和用户负责。10月24日挑战赛当天,华为、360、小米等厂商安全负责人参加现场活动,挑战赛结束后,组委会第一时间向现场的厂商提交了漏洞报告,以帮助厂商尽早修复产品漏洞,从而大大降低了潜在的安全风险,让智能生活更安全。
自去年首届GeekPwn成功举办以来,经过一年多的观念普及,厂商和安全圈已基本形成共识:问题被发现和修复的越多,产品越安全。事实上,利用GeekPwn来提高产品安全系数的厂商已不在少数。在去年GeekPwn现场攻破演示后,锤子科技、特斯拉、奇虎360等厂商都利用GeekPwn提供的漏洞报告及早修补了产品系统漏洞,从而避免了潜在的安全隐患。
看完这些,你是不是跟我一样,吓出一身冷汗?估计厂商们也是如此反应,有问题就爆出来,然后解决,这才是技术进步该走的路。但是,曾几何时,厂商们出了安全问题都是瞒报、不承认,觉得丢人。其实,大可不必,没有一项技术是完美的,也没有一项技术是绝对安全的,科技就是在“以子之矛攻子之盾”的切磋中向前行进的。我们只是期望,这个科技的世界,能够让生活更美好,罢了。
