你家的攝像頭不是你的攝像頭,因為它幫別人偷看你家;你操控?zé)o人機技術(shù)再好,但現(xiàn)在控制器在你手上,它卻被別人操縱了……這種黑技術(shù),只有《碟中諜》里才有?昨天,被業(yè)內(nèi)譽為“中國黑客奧運會”的GeekPwn2015嘉年華拉開帷幕,國內(nèi)多個頂尖“白帽子(安全黑客)”團隊在滬巔峰對決。繼去年“黑”了特斯拉電動汽車后,今年金融支付、無人機、O2O及智能家居等成了重點“攻破”對象。
金融支付
黑客不要你密碼
移動支付越來越普遍,但也許你根本沒告訴過別人密碼,你的卡就能被別人任意買買買!在當(dāng)天的演示中,選手還輕松攻破了拉卡拉收款寶POS機、盒子支付POS機等,攻擊者可以不受限地用偽造卡盜用被攻擊者的銀行賬戶。值得一提的是,手機應(yīng)用和移動終端的手寫簽名功能并未識別出偽造者。此外,通過銀聯(lián)賬戶交易系統(tǒng),黑客可以盜刷用戶銀行卡。據(jù)悉,黑客利用SSL互聯(lián)網(wǎng)底層協(xié)議的未知漏洞在用戶不知不覺中查詢余額和消費記錄,能讓普通用戶的個人隱私將被侵害,個人信息一覽無遺。
O2O應(yīng)用
手機還在你手里
O2O服務(wù)已滲透到衣食住行方方面面,昨天,“白帽子”們現(xiàn)場演示了如何利用“嘟嘟美甲”“阿姨幫”等熱門應(yīng)用上的系統(tǒng)漏洞,通過在自己手機上調(diào)用支付寶,在實際支付1分錢的情況下,就完成任意價格的訂單充值;此外,還有全國最大的上門推拿按摩平臺“功夫熊”、極速在線選座購票平臺“微票兒”等O2O服務(wù)平臺,昨天也被演示“攻破”。專家指出,雖然各類生活服務(wù)類應(yīng)用如雨后春筍般在國人的手機上“猛長”,但由于有些本身安全能力有限,很多O2O產(chǎn)品都在支付接口有著類似的漏洞,惡意黑客可借此不知不覺“入場”,偷獲用戶手機號、家庭住址、平臺賬號等關(guān)鍵信息,甚至威脅到用戶的財產(chǎn)和人身安全。
智能家居
攝像頭變監(jiān)控你
當(dāng)你進入夢鄉(xiāng),卻被伴隨著音樂節(jié)奏變得忽明忽暗的智能床燈驚醒;當(dāng)你在家中自由活動,卻不知道私生活已經(jīng)通過攝像頭直播給別人……本屆嘉年華上,攝像頭、無人機、智能烤箱、智能路由器、智能插座及智能家居套裝在內(nèi)的智能家居項目,占據(jù)了GeekPwn挑戰(zhàn)總項目的一半,不難想象如今風(fēng)頭正勁的智能家居正面臨著極大的安全挑戰(zhàn)。
現(xiàn)場尤其長亭科技(藍蓮花 CTF 戰(zhàn)隊)演示的一次性攻破7款智能攝像頭最具看點,“黑客”們能接入攝像頭所在的網(wǎng)絡(luò),遠程獲得攝像頭ROOT權(quán)限,并進一步控制攝像頭運動方向、竊取已錄視頻甚至播放篡改音頻,這不禁讓人聯(lián)想到美國電影里攝像頭殺人的情節(jié)。數(shù)據(jù)顯示,2014年中國的攝像頭出貨量大約是3500萬,到2018年預(yù)估會達到7500萬,其安全漏洞一旦被犯罪分子利用后果不堪設(shè)想。
“我們辦會的目的有兩個,一是不要嚇唬用戶,二是不要威脅廠商。”在這場與Pwn2Own齊名的世界級黑客大賽上,昨天包括“老鷹”、“袁哥”、清華諸葛建偉等國內(nèi)知名安全專家都參與擔(dān)任了現(xiàn)場評審。據(jù)江湖外號“大牛蛙”的GeekPwn發(fā)起和創(chuàng)辦人王琦表示,GeekPwn嘉年華將會第一時間把漏洞報告負責(zé)任地提交給廠商,推動廠商修復(fù)安全漏洞,提高產(chǎn)品安全性。“以攻為防——問題被發(fā)現(xiàn)和越早解決,產(chǎn)品越安全,用戶越安全。”昨天傍晚,在會上被“黑”的拉卡拉就在其官方微博上對此公開積極響應(yīng),表示目前已經(jīng)完成系統(tǒng)升級,且歡迎來自各方的挑戰(zhàn)和專業(yè)建議,以共建系統(tǒng)安全。
京公網(wǎng)安備 11010502049343號