10月24日,被業(yè)內(nèi)譽(yù)為“中國黑客奧運(yùn)會(huì)”的GeekPwn 2015嘉年華拉開帷幕,國內(nèi)多個(gè)頂尖“白帽子(安全黑客)”團(tuán)隊(duì)在滬巔峰對(duì)決。繼去年“黑”了特斯拉電動(dòng)汽車后,今年金融支付、無人機(jī)、O2O及智能家居等成了“白帽子”們展示出的重點(diǎn)“攻破”對(duì)象。
你的卡不是你的卡,而且別人無需劫走你密碼;你家的攝像頭不是你的攝像頭,因?yàn)樗鼛蛣e人偷看你家;你操控?zé)o人機(jī)技術(shù)再好,但現(xiàn)在你控制器在你手上,它卻被別人操縱了……這種黑技術(shù),只有《碟中諜》里才有?10月24日,被業(yè)內(nèi)譽(yù)為“中國黑客奧運(yùn)會(huì)”的GeekPwn 2015嘉年華拉開帷幕,國內(nèi)多個(gè)頂尖“白帽子(安全黑客)”團(tuán)隊(duì)在滬巔峰對(duì)決。繼去年“黑”了特斯拉電動(dòng)汽車后,今年金融支付、無人機(jī)、O2O及智能家居等成了“白帽子”們展示出的重點(diǎn)“攻破”對(duì)象。
金融支付:黑客不要你密碼
移動(dòng)支付越來越普遍,但也許你根本沒告訴過別人你密碼,你的卡就能讓被別人任意買買買!在當(dāng)天的演示中,選手還輕松攻破了拉卡拉收款寶POS機(jī)、盒子支付POS機(jī)等,攻擊者可以不受限地用偽造卡盜用被攻擊者的銀行賬戶。值得一提的是,手機(jī)應(yīng)用和移動(dòng)終端的手寫簽名功能并未識(shí)別出偽造者。此外,通過銀聯(lián)賬戶交易系統(tǒng),黑客可以盜刷用戶銀行卡。據(jù)悉,黑客利用SSL互聯(lián)網(wǎng)底層協(xié)議的未知漏洞在用戶不知不覺中查詢余額和消費(fèi)記錄,能讓普通用戶的個(gè)人隱私將被侵害,個(gè)人信息一覽無遺。由于涉及財(cái)產(chǎn)安全,金融支付工具和渠道的安全威脅影響面更廣、破壞力更大。
O2O應(yīng)用:手機(jī)還在你手里
O2O服務(wù)已滲透到衣食住行方方面面,家政、餐飲、美業(yè)、生鮮、保健等O2O應(yīng)用更是風(fēng)生水起。昨天,“白帽子”們現(xiàn)場(chǎng)演示了如何利用“嘟嘟美甲”“阿姨幫”等熱門應(yīng)用上的系統(tǒng)漏洞,通過在自己手機(jī)上調(diào)用支付寶,在實(shí)際支付1分錢的情況下,就完成任意價(jià)格的訂單充值;此外,還有全國最大的上門推拿**平臺(tái)“功夫熊”、極速在線選座購票平臺(tái)“微票兒”等O2O服務(wù)平臺(tái),昨天也被演示“攻破”。專家指出,雖然各類生活服務(wù)類應(yīng)用如雨后春筍般在國人的手機(jī)上“猛長”,但由于有些本身安全能力有限,很多O2O產(chǎn)品都在支付接口有著類似的漏洞,惡意黑客可借此不知不覺“入場(chǎng)”,偷獲用戶手機(jī)號(hào)、家庭住址、平臺(tái)賬號(hào)等關(guān)鍵信息,甚至威脅到用戶的財(cái)產(chǎn)和人身安全。
智能家居:攝像頭變監(jiān)控你
當(dāng)你進(jìn)入夢(mèng)鄉(xiāng),卻被伴隨著音樂節(jié)奏變得忽明忽暗的智能床燈驚醒;當(dāng)你在家中自由活動(dòng),卻不知道私生活已經(jīng)通過攝像頭直播給別人……本屆嘉年華上,攝像頭、無人機(jī)、智能烤箱、智能路由器、智能插座及智能家居套裝在內(nèi)的智能家居項(xiàng)目,占據(jù)了GeekPwn挑戰(zhàn)總項(xiàng)目的一半,不難想象如今風(fēng)頭正勁的智能家居正面臨著極大的安全挑戰(zhàn)。
現(xiàn)場(chǎng)尤其長亭科技(藍(lán)蓮花 CTF 戰(zhàn)隊(duì))演示的一次性攻破7款智能攝像頭最具看點(diǎn),“黑客”們能接入攝像頭所在的網(wǎng)絡(luò),遠(yuǎn)程獲得攝像頭ROOT權(quán)限,并進(jìn)一步控制攝像頭運(yùn)動(dòng)方向、竊取已錄視頻甚至播放篡改音頻,這不禁讓人聯(lián)想到美國電影里攝像頭殺人的情節(jié)。數(shù)據(jù)顯示,2014年中國的攝像頭出貨量大約是3500萬,到2018年預(yù)估會(huì)達(dá)到7500萬,其安全漏洞一旦被犯罪分子利用后果不堪設(shè)想。
“我們辦會(huì)的目的有兩個(gè),一是不要嚇唬用戶,二是不要威脅廠商?!痹谶@場(chǎng)與Pwn2Own齊名的世界級(jí)黑客大賽上,昨天包括“老鷹”、“袁哥”、清華諸葛建偉等國內(nèi)知名安全專家都參與擔(dān)任了現(xiàn)場(chǎng)評(píng)審。同時(shí),華為、360、小米等廠商安全負(fù)責(zé)人也參加了現(xiàn)場(chǎng)活動(dòng),挑戰(zhàn)賽后組委會(huì)第一時(shí)間向現(xiàn)場(chǎng)廠商提交了漏洞報(bào)告。據(jù)江湖外號(hào)“大牛蛙”的GeekPwn發(fā)起和創(chuàng)辦人王琦表示,GeekPwn 嘉年華將會(huì)第一時(shí)間把漏洞報(bào)告負(fù)責(zé)任地提交給廠商,推動(dòng)廠商修復(fù)安全漏洞,提高產(chǎn)品安全性?!耙怨榉馈獑栴}被發(fā)現(xiàn)和越早解決,產(chǎn)品越安全,用戶越安全。”昨天傍晚,在會(huì)上被“黑”的拉卡拉就在其官方微博上對(duì)此公開積極響應(yīng),表示目前已經(jīng)完成系統(tǒng)升級(jí),且歡迎來自各方的挑戰(zhàn)和專業(yè)建議,以共建系統(tǒng)安全。