由知名安全團隊KEEN主辦的GeekPwn 2015嘉年華上周五在上海舉行。在這場被業內譽為“黑客奧運會”的國際性智能軟硬件挑戰賽上,超過40款主流軟硬件產品成為選手攻破對象,移動支付、O2O、智能家居等領域的安全問題成為今年的熱點。
全線路由器、攝像頭產品被攻破
活動過程中,包括小米、華為等主流手機品牌紛紛被選手攻破。選手通過在安卓手機上安裝一個普通權限的APP,利用本地提權漏洞獲取系統權限后,該APP會替換手機的開機畫面。多名白帽黑客演示了360、小米、聯想、D-link、TP-link等十個品牌的路由器被攻破的場景,三組參賽選手分別選擇了某電商網站十款銷量最高的路由器,利用智能路由器的未知漏洞,完成獲取ROOT權限,演示本來要打開正常的GeekPwn官網,卻鏈接到另外一個黑客山寨被PWN掉的GeekPwn官網。
支付1分錢可任意充值
O2O服務已經滲透到購物、交通、衣食住行等方方面面。然而在用戶獲得極大便利服務的同時卻難免遭遇數據泄露、信息安全等問題。在現場,白帽黑客現場演示了如何利用嘟嘟美甲充值系統項目的漏洞,通過在自己手機上調用支付寶,在實際支付1分錢的情況下,完成任意價格的訂單充值。現場選手還進行了利用“阿姨幫”系統未知漏洞,進行任意充值的演示。除此之外,選手們還成功演示了攻破全國最大的上門推拿按摩平臺功夫熊、極速在線選座購票平臺微票兒等O2O服務平臺。此外,黑客還可以在獲知用戶信息,例如手機號、家庭住址、平臺賬號等,威脅到用戶的財產和人身安全。
選手任意操縱智能烤箱
智能生活正以各種各樣的形態進入人們的視野,例如原本功能單一的烤箱一旦與智能掛上鉤,除了保持正常的燒烤模式外,還可以通過WiFi進行遠程控制。當黑客瞄上了它,智能烤箱能給用戶帶來的就不僅僅是美味的食物,還可能是極大的安全隱患。選手現場演繹攻破智能烤箱,隨意調節其溫度、頻率等。
GeekPwn選手表示,智能家居軟硬件如果被攻破,不僅會產生以上的安全隱患,你還可能在睡夢中被忽明忽暗的燈光驚醒;在不經意間,用以遠程操作的手機APP被不法分子入侵,個人信息被盡收眼底;智能門鎖被任意操控,大門洞開……各種家居智能設備都可能成為噩夢,期望的智能安全生活將被攪得一塌糊涂。
賽后,GeekPwn組委會第一時間向廠商發送了漏洞報告,以協助所有廠商第一時間修補漏洞。
京公網安備 11010502049343號