26日記者獲悉,剛剛在上海結(jié)束的網(wǎng)絡(luò)安全比賽“極棒2015嘉年華”中,參賽選手們攻破了40余款主流軟硬件產(chǎn)品,其中既包括像大疆無人機(jī)、華為、小米、奇酷手機(jī)及路由器等智能硬件,也包括拉卡拉、銀聯(lián)支付系統(tǒng)、多款O2O應(yīng)用等常見軟件。比賽主辦方表示,所有參賽選手發(fā)現(xiàn)的漏洞將提交給廠商,幫助廠商打造更安全的產(chǎn)品。
“極棒”是GeekPwn的音譯,“Pwn”是極客常用語,指找到了產(chǎn)品漏洞。在比賽的一開始,一名參賽選手就在沒有遙控器的情況下,實(shí)現(xiàn)了遠(yuǎn)程控制大疆無人機(jī)。
隨后,十余名安全極客陸續(xù)攻破了360、小米、聯(lián)想、D-link、TP-link等十余款路由器,利用未知漏洞,獲取了智能路由器的系統(tǒng)權(quán)限。
對此,比賽主辦方、安全團(tuán)隊(duì)keen負(fù)責(zé)人王琦介紹,“雖然攻破路由器看起來不那么酷,但這不僅難度大,而且危害大,因?yàn)槿魏瓮ㄟ^這個路由器上網(wǎng)的信息都可以被截取,賬號、密碼、聊天記錄、文件都可以在毫不知情的情況下泄密。”
現(xiàn)在還有不少人在用智能攝像頭作為家里或辦公場所的防盜系統(tǒng)。在比賽現(xiàn)場,一組參賽選手一次性攻破了7臺不同品牌的智能攝像頭,原本防盜的利器竟變身為竊取隱私的強(qiáng)盜。
對老百姓來說,最受關(guān)注的還是移動支付領(lǐng)域的漏洞。記者在現(xiàn)場看到,有選手攻破了拉卡拉收款寶POS機(jī),只要在被攻破的POS機(jī)上刷過卡、輸過密碼,極客就可以轉(zhuǎn)走卡內(nèi)的全部余額,同樣被攻破的還有盒子支付POS機(jī)。
更讓觀眾吃驚的還包括很多互聯(lián)網(wǎng)金融APP。例如,有選手攻破了銀聯(lián)賬戶交易系統(tǒng),這樣很容易就能盜刷用戶的銀行卡;有選手在用支付寶給“嘟嘟美甲”充值時,只需要支付1分錢,就能完成任意金額充值……
對于這些漏洞的處理,王琦告訴記者,“肯定會最早告訴廠商,而且在廠商修補(bǔ)好漏洞前,我們是不會對外公布漏洞細(xì)節(jié)。即使是以后公布,也是為了其他廠商能夠借鑒教訓(xùn),不要犯同樣的錯誤。”
雖然有點(diǎn)像玩“大家來找茬”,但這場安全比賽也得到了各大廠商的支持和認(rèn)同。其中,支付寶官方表示,“安全面前誰也無法獨(dú)善其身,行業(yè)同仁與商戶是個整體.支付寶已第一時間聯(lián)系該美甲APP,并愿意為其緊急修復(fù)提供幫助”;奇酷手機(jī)官方也表示,“提供一個環(huán)境,讓安全研究人員幫助識別潛在的安全漏洞,這有助于推進(jìn)360奇酷手機(jī)在安全方面的發(fā)展”;拉卡拉官方則表示,對于暴露的漏洞,“目前已經(jīng)完成系統(tǒng)升級”,“我們歡迎來自各方的挑戰(zhàn)和專業(yè)建議,共建系統(tǒng)安全”。
京公網(wǎng)安備 11010502049343號