黑客大賽GeekPwn攻破主流廠商眾多產(chǎn)品
10月24日,由知名安全團(tuán)隊KEEN主辦的GeekPwn 2015嘉年華在上海舉行。在這場被業(yè)內(nèi)譽(yù)為“黑客奧運會”的國際性智能軟硬件挑戰(zhàn)賽上,超過40款主流軟硬件產(chǎn)品成為選手攻破對象,移動支付、O2O、智能家居等領(lǐng)域的安全問題成為今年的熱點。
一架大疆無人機(jī)在GeekPwn評委“老鷹”的操作下起飛,按照評委的遙控指穩(wěn)定飛行,評委將無人機(jī)遙控器放置在一邊,不料,此時無人機(jī)旋翼開始緩緩轉(zhuǎn)動并飛行起來。這是GeekPwn嘉年華選手在外場演示劫持無人機(jī)的畫面。
主流手機(jī)成選手目標(biāo)全線路由器、攝像頭產(chǎn)品被攻破
活動過程中,包括小米、華為等主流手機(jī)品牌紛紛被選手攻破。選手通過在安卓手機(jī)上安裝一個普通權(quán)限的app,利用本地提權(quán)漏洞獲取系統(tǒng)權(quán)限后,該app會替換手機(jī)的開機(jī)畫面。
多名白帽黑客演示了360、小米、聯(lián)想、D-link、TP-link等十個品牌的路由器被攻破的場景,三組參賽選手分別選擇了某電商網(wǎng)站十款銷量***的路由器,利用智能路由器的未知漏洞,完成獲取ROOT權(quán)限,演示本來要打開正常的GeekPwn官網(wǎng),卻鏈接到另外一個黑客山寨的被PWN掉的GeekPwn官網(wǎng)。
移動金融支付成重災(zāi)區(qū)
由于涉及財產(chǎn)安全,金融支付工具和渠道的安全威脅影響面更廣,破壞力更大。在當(dāng)天的演示中,白帽黑客利用SSL互聯(lián)網(wǎng)底層協(xié)議的未知漏洞在用戶不知不覺中查詢余額和消費記錄,個人隱私將被侵害,個人信息一覽無遺。
在GeekPwn智能軟硬件破解大賽現(xiàn)場,選手還輕松攻破了拉卡拉收款寶POS機(jī),使卡內(nèi)余額莫名消失。同樣被攻破的還有盒子支付POS機(jī)。此外,通過銀聯(lián)賬戶交易系統(tǒng),黑客可以盜刷用戶銀行卡。
O2O讓黑客任性買買買
白帽黑客現(xiàn)場演示了如何利用嘟嘟美甲充值系統(tǒng)項目的漏洞,通過在自己手機(jī)上調(diào)用支付寶,在實際支付1分錢的情況下,完成任意價格的訂單充值。
現(xiàn)場選手還進(jìn)行了利用“阿姨幫”系統(tǒng)未知漏洞,進(jìn)行任意充值的的演示,其實,除了“阿姨幫”很多O2O產(chǎn)品都在支付接口有著類似的漏洞。有趣的是,這位選手原本報名的是一個名為“E家潔”的O2O項目,因為在大會當(dāng)天,官方關(guān)閉了云服務(wù),經(jīng)過選手短暫的協(xié)商后,臨時改為“阿姨幫”。
智能家居安全隱患無處不在
智能家居類產(chǎn)品已逐漸步入尋常百姓家,GeekPwn選手現(xiàn)場演示證明,黑客可以讓智能攝像頭變成侵犯用戶隱私的道具。選手現(xiàn)場演繹攻破智能烤箱,隨意調(diào)節(jié)其溫度、頻率等。想象一下,電影中烤箱爆炸的情景或許真的可能在現(xiàn)實生活中上演并威脅生命安全。
華為、小米等廠商安全負(fù)責(zé)人現(xiàn)場接受漏洞披露
GeekPwn主辦方KEEN公司CEO王琦表示,堅持科學(xué)中立的評判和負(fù)責(zé)任的漏洞披露是GeekPwn始終堅持的原則。據(jù)悉,在GeekPwn參賽項目確定前,組委會邀請所有項目涉及的廠商現(xiàn)場觀看,對廠商和用戶負(fù)責(zé)。
10月24日挑戰(zhàn)賽當(dāng)天,華為、360、小米等廠商安全負(fù)責(zé)人參加現(xiàn)場活動,挑戰(zhàn)賽結(jié)束后,組委會***時間向現(xiàn)場的廠商提交了漏洞報告,以幫助廠商盡早修復(fù)產(chǎn)品漏洞,從而大大降低了潛在的安全風(fēng)險,讓智能生活更安全。
用技術(shù)主義打造的一場黑客文化節(jié)
除了緊張的比賽,GeekPwn嘉年華還有獨具特色的黑客主題創(chuàng)意設(shè)計和科技化互動娛樂活動,打造了純正的黑客文化盛宴。
就連一個小小的胸卡也充滿了黑客范兒,現(xiàn)場觀眾的胸卡即為一個智能硬件——電子微屏幕。現(xiàn)場觀眾通過胸卡答題挑戰(zhàn),獲勝者的ID可以閃亮在所有人胸卡上。每一位成功演示攻破項目的選手的名字會出現(xiàn)其中。
更有趣的是,在GeekPwn嘉年華現(xiàn)場,進(jìn)入洗手間也是一項挑戰(zhàn),因為任何人進(jìn)入洗手間都需要先破解密碼題目。
作為全球***關(guān)注智能生活的安全極客嘉年華,GeekPwn 2015備受政府及行業(yè)關(guān)注。上海市信息化青年人才協(xié)會顧問、共青團(tuán)上海市委員會副書記王力為,騰訊安全負(fù)責(zé)人丁珂,惠普安全研究院漏洞主管、Pwn2Own組織者Brian Gorenc等嘉賓出席了嘉年華啟動儀式并發(fā)表致辭。
