你的卡不是你的卡,而且别人无需劫走你密码;你家的摄像头不是你的摄像头,因为它帮别人偷看你家;你操控无人机技术再好,但现在你控制器在你手上,它却被别人操纵了……这种黑技术,只有《碟中谍》里才有?10月24日,被业内誉为“中国黑客奥运会”的GeekPwn 2015嘉年华拉开帷幕,国内多个顶尖“白帽子(安全黑客)”团队在沪巅峰对决。继去年“黑”了特斯拉电动汽车后,今年金融支付、无人机、O2O及智能家居等成了“白帽子”们展示出的重点“攻破”对象。
金融支付:黑客不要你密码
移动支付越来越普遍,但也许你根本没告诉过别人你密码,你的卡就能让被别人任意买买买!在当天的演示中,选手还轻松攻破了拉卡拉收款宝POS机、盒子支付POS机等,攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。值得一提的是,手机应用和移动终端的手写签名功能并未识别出伪造者。此外,通过银联账户交易系统,黑客可以盗刷用户银行卡。据悉,黑客利用SSL互联网底层协议的未知漏洞在用户不知不觉中查询余额和消费记录,能让普通用户的个人隐私将被侵害,个人信息一览无遗。由于涉及财产安全,金融支付工具和渠道的安全威胁影响面更广、破坏力更大。
O2O应用:手机还在你手里
O2O服务已渗透到衣食住行方方面面,家政、餐饮、美业、生鲜、保健等O2O应用更是风生水起。昨天,“白帽子”们现场演示了如何利用“嘟嘟美甲”“阿姨帮”等热门应用上的系统漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,就完成任意价格的订单充值;此外,还有全国最大的上门推拿按摩平台“功夫熊”、极速在线选座购票平台“微票儿”等O2O服务平台,昨天也被演示“攻破”。专家指出,虽然各类生活服务类应用如雨后春笋般在国人的手机上“猛长”,但由于有些本身安全能力有限,很多O2O产品都在支付接口有着类似的漏洞,恶意黑客可借此不知不觉“入场”,偷获用户手机号、家庭住址、平台账号等关键信息,甚至威胁到用户的财产和人身安全。
智能家居:摄像头变监控你
当你进入梦乡,却被伴随着音乐节奏变得忽明忽暗的智能床灯惊醒;当你在家中自由活动,却不知道私生活已经通过摄像头直播给别人……本届嘉年华上,摄像头、无人机、智能烤箱、智能路由器、智能插座及智能家居套装在内的智能家居项目,占据了GeekPwn挑战总项目的一半,不难想象如今风头正劲的智能家居正面临着极大的安全挑战。
现场尤其长亭科技(蓝莲花 CTF 战队)演示的一次性攻破7款智能摄像头最具看点,“黑客”们能接入摄像头所在的网络,远程获得摄像头ROOT权限,并进一步控制摄像头运动方向、窃取已录视频甚至播放篡改音频,这不禁让人联想到美国电影里摄像头杀人的情节。数据显示,2014年中国的摄像头出货量大约是3500万,到2018年预估会达到7500万,其安全漏洞一旦被犯罪分子利用后果不堪设想。
“我们办会的目的有两个,一是不要吓唬用户,二是不要威胁厂商。”在这场与Pwn2Own齐名的世界级黑客大赛上,昨天包括“老鹰”、“袁哥”、清华诸葛建伟等国内知名安全专家都参与担任了现场评审。同时,华为、360、小米等厂商安全负责人也参加了现场活动,挑战赛后组委会第一时间向现场厂商提交了漏洞报告。据江湖外号“大牛蛙”的GeekPwn发起和创办人王琦表示,GeekPwn 嘉年华将会第一时间把漏洞报告负责任地提交给厂商,推动厂商修复安全漏洞,提高产品安全性。“以攻为防——问题被发现和越早解决,产品越安全,用户越安全。”昨天傍晚,在会上被“黑”的拉卡拉就在其官方微博上对此公开积极响应,表示目前已经完成系统升级,且欢迎来自各方的挑战和专业建议,以共建系统安全。