上海银行美好生活卡看完黑客大赛真真是吓死宝宝了……
不仅O2O产品被一一攻破,就连正在走入寻常百姓家的智能家居类产品也未能幸免,黑客现场演示证明,可以让智能摄像头变成用户隐私的道具,也就是说,你家按照的摄像头,根本就不听你的指挥而是成为黑客的玩具。黑客还现场演示了如何攻破你家的智能烤箱,随意调节其温度、频率等。想象一下,电影中烤箱爆炸的情景或许真的可能在现实生活中上演并生命安全。
你或许会说,无人机就是个玩具,劫了就劫了,有啥大不了的。看完下面这个场景,你就不会这么说了。
这是一个神秘的领域,资料显示,GeekPwn是国际性的智能生活安全社区,是连接国内外安全、促进技术交流的桥梁,发现和输出优秀人才的平台,促进安全生态健康发展的力量。GeekPwn其中Geek译为极客,Pwn译为“攻破设备或者系统”,GeekPwn译为“极棒”,字面意义是“极客攻破新设备和系统”。它聚焦于智能设备领域同时,致力于为“以创新、技术和时尚为生命意义”的极客打造一个展示交流的舞台,从而引领未来科技、智能生活和时尚潮流。
GeekPwn的“白帽子”表示,智能家居软硬件如果被攻破,不仅会产生以上的安全隐患,你还可能在睡梦中被忽明忽暗的灯光惊醒;在不经意间,用以远程操作的手机APP被入侵,个人信息被尽收眼底;智能门锁被任意操控,大门洞开……各种家居智能设备都可能成为噩梦,期望的智能安全生活将被搅的一塌糊涂。
我的另一个微信号是“科技观察”ID:kejiguancha
这还没完,如今人手一部的智能手机,也未能幸免。现场演示中,包括小米、华为等主流手机品牌纷纷被黑客攻破。他们通过在手机上安装一个普通权限的app,利用本地提权漏洞获取系统权限后,该app会替换手机的开机画面。
现在知道了黑客的厉害了吧?幸亏,他们不是你所理解的“黑客”,而是“白帽子”。何为“白帽子”?他们是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。所以,以上场景均是在特定下的演示,而非真正去。
不只是拉卡拉,在当天的演示中,白帽黑客利用SSL互联网底层协议的未知漏洞,在用户不知不觉中查询余额和消费记录,个人隐私也都一览无遗。在GeekPwn智能软硬件破解大赛现场,选手还轻松攻破了盒子支付POS机,通过银联账户交易系统,黑客可以盗刷用户银行卡。
我的一个微信号是“王长胜”ID:wangchangsheng110
作者是《中国企业家》、《彭博商业周刊》前科技主笔
10月24日,这是一个特殊的日子,你一定懂得(1024)。
GeekPwn嘉年华的评委则认为,除了大众应对信息安全产生足够的重视,厂商更应如此。事实上,作为智能家居的厂商们,面对信息安全与智能安全的隐患已作出了积极的回应,他们会通过各种渠道与信息安全人员合作,希望能够及早发现产品漏洞,并将隐患在摇篮中。
看完这段之后,是不是感觉后背发凉呢?接着看……
1024这天,一架大疆无人机在GeekPwn评委“老鹰”的操作下起飞,按照评委的遥控指令稳定飞行。这时,评委突然将无人机遥控器放置在一边。不料,此时无人机却自行改变航线……意思就是这架无人机被黑客劫持了。据劫机者称,他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。
GeekPwn 2015嘉年华,选择了这样一个特殊的日子在上海举行,有点意思。这是一场被业内誉为“黑客奥运会”的国际性智能软硬件挑战赛,由国内顶尖安全团队KEEN主办,超过40款主流软硬件产品成为选手攻破对象,移动支付、O2O、智能家居等领域的安全问题,再次成为行业关注的焦点。
GeekPwn主办方KEEN公司CEO王琦表示,其初衷也是“以攻为防”,“科学中立的评判和负责任的漏洞披露原则”是GeekPwn始终的。据悉,在GeekPwn参赛项目确定前,组委会邀请所有项目涉及的厂商现场观看,对厂商和用户负责。10月24日挑战赛当天,华为、360、小米等厂商安全负责人参加现场活动,挑战赛结束后,组委会第一时间向现场的厂商提交了漏洞报告,以帮助厂商尽早修复产品漏洞,从而大大降低了潜在的安全风险,让智能生活更安全。
听起来很神秘炫酷吧?更过瘾的还在后头呢。
多名黑客演示了360、小米、联想、D-link、TP-link等十个品牌的由器被攻破的场景,三组参赛选手分别选择了某电商网站十款销量最高的由器,利用智能由器的未知漏洞,完成获取ROOT权限,演示本来要打开正常的GeekPwn官网,却链接到另外一个黑客山寨的被PWN掉的GeekPwn官网。
看完这些,你是不是跟我一样,吓出一身冷汗?估计厂商们也是如此反应,有问题就爆出来,然后解决,这才是技术进步该走的。但是,曾几何时,厂商们出了安全问题都是瞒报、不承认,觉得丢人。其实,大可不必,没有一项技术是完美的,也没有一项技术是绝对安全的,科技就是在“以子之矛攻子之盾”的中向前行进的。我们只是期望,这个科技的世界,能够让生活更美好,罢了。
自去年首届GeekPwn成功举办以来,经过一年多的观念普及,厂商和安全圈已基本形成共识:问题被发现和修复的越多,产品越安全。事实上,利用GeekPwn来提高产品安全系数的厂商已不在少数。在去年GeekPwn现场攻破演示后,锤子科技、特斯拉、奇虎360等厂商都利用GeekPwn提供的漏洞报告及早修补了产品系统漏洞,从而避免了潜在的安全隐患。
一名黑客通过手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡(如招商银行卡)完成一次查询余额的动作,之后会将交易信息劫持下来,然后用另一张卡(如公积金卡)去刷卡转帐,输入任意密码就可以转走前面招行卡上的余额。
黑客还现场演示了,如何利用嘟嘟美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。还进行了利用“阿姨帮”系统未知漏洞,进行任意充值的的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。黑客还成功演示了攻破极速在线选座购票平台微票儿等O2O服务平台。并且,黑客还可以在获知用户信息,例如手机号、家庭住址、平台账号等,到用户的财产和人身安全。对于已深入渗透大活的O2O平台来说,此次GeekPwn智能软硬件挑战赛无疑是一次高效率、零成本完善产品的机会。
我的文章还将发布到百度百家、新浪科技、腾讯科技、网易科技、搜狐客户端、今日头条、一点资讯、虎嗅、钛等数十家网站