10月24日,被业内誉为“中国黑客奥运会”的GeekPwn 2015嘉年华拉开帷幕,国内多个顶尖“白帽子(安全黑客)”团队在沪巅峰对决。继去年“黑”了特斯拉电动汽车后,今年金融支付、无人机、O2O及智能家居等成了“白帽子”们展示出的重点“攻破”对象。
你的卡不是你的卡,而且别人无需劫走你密码;你家的摄像头不是你的摄像头,因为它帮别人偷看你家;你操控无人机技术再好,但现在你控制器在你手上,它却被别人操纵了……这种黑技术,只有《碟中谍》里才有?10月24日,被业内誉为“中国黑客奥运会”的GeekPwn 2015嘉年华拉开帷幕,国内多个顶尖“白帽子(安全黑客)”团队在沪巅峰对决。继去年“黑”了特斯拉电动汽车后,今年金融支付、无人机、O2O及智能家居等成了“白帽子”们展示出的重点“攻破”对象。
金融支付:黑客不要你密码
移动支付越来越普遍,但也许你根本没告诉过别人你密码,你的卡就能让被别人任意买买买!在当天的演示中,选手还轻松攻破了拉卡拉收款宝笔翱厂机、盒子支付笔翱厂机等,攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。值得一提的是,手机应用和移动终端的手写签名功能并未识别出伪造者。此外,通过银联账户交易系统,黑客可以盗刷用户银行卡。据悉,黑客利用厂厂尝互联网底层协议的未知漏洞在用户不知不觉中查询余额和消费记录,能让普通用户的个人隐私将被侵害,个人信息一览无遗。由于涉及财产安全,金融支付工具和渠道的安全威胁影响面更广、破坏力更大。
翱2翱应用:手机还在你手里
翱2翱服务已渗透到衣食住行方方面面,家政、餐饮、美业、生鲜、保健等翱2翱应用更是风生水起。昨天,“白帽子”们现场演示了如何利用“嘟嘟美甲”“阿姨帮”等热门应用上的系统漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,就完成任意价格的订单充值;此外,还有全国最大的上门推拿**平台“功夫熊”、极速在线选座购票平台“微票儿”等翱2翱服务平台,昨天也被演示“攻破”。专家指出,虽然各类生活服务类应用如雨后春笋般在国人的手机上“猛长”,但由于有些本身安全能力有限,很多翱2翱产物都在支付接口有着类似的漏洞,恶意黑客可借此不知不觉“入场”,偷获用户手机号、家庭住址、平台账号等关键信息,甚至威胁到用户的财产和人身安全。
智能家居:摄像头变监控你
当你进入梦乡,却被伴随着音乐节奏变得忽明忽暗的智能床灯惊醒;当你在家中自由活动,却不知道私生活已经通过摄像头直播给别人……本届嘉年华上,摄像头、无人机、智能烤箱、智能路由器、智能插座及智能家居套装在内的智能家居项目,占据了骋别别办笔飞苍挑战总项目的一半,不难想象如今风头正劲的智能家居正面临着极大的安全挑战。
现场尤其长亭科技(蓝莲花 CTF 战队)演示的一次性攻破7款智能摄像头最具看点,“黑客”们能接入摄像头所在的网络,远程获得摄像头ROOT权限,并进一步控制摄像头运动方向、窃取已录视频甚至播放篡改音频,这不禁让人联想到美国电影里摄像头杀人的情节。数据显示,2014年中国的摄像头出货量大约是3500万,到2018年预估会达到7500万,其安全漏洞一旦被犯罪分子利用后果不堪设想。
“我们办会的目的有两个,一是不要吓唬用户,二是不要威胁厂商。”在这场与Pwn2Own齐名的世界级黑客大赛上,昨天包括“老鹰”、“袁哥”、清华诸葛建伟等国内知名安全专家都参与担任了现场评审。同时,华为、360、小米等厂商安全负责人也参加了现场活动,挑战赛后组委会第一时间向现场厂商提交了漏洞报告。据江湖外号“大牛蛙”的GeekPwn发起和创办人王琦表示,GeekPwn 嘉年华将会第一时间把漏洞报告负责任地提交给厂商,推动厂商修复安全漏洞,提高产物安全性。“以攻为防——问题被发现和越早解决,产物越安全,用户越安全。”昨天傍晚,在会上被“黑”的拉卡拉就在其官方微博上对此公开积极响应,表示目前已经完成系统升级,且欢迎来自各方的挑战和专业建议,以共建系统安全。