摘要:10月24日,一场大规模的智能设备破解挑战赛在北京举行。在这次中国顶级黑客的“华山论剑”中,特斯拉无人驾驶被Keen Team首次实现,此外,一次性攻破七十款主流智能手机,借助未公开网络基础协议设计漏洞攻破网络银行等都展示成了挑战亮点。 |
从10月24日开始,为期两天的一场大规模的智能硬件设备破解挑战赛由知名安全研究团队Keen Team主办,这次活动将聚焦智能家居、智能穿戴、智能交通、智能娱乐、智能终端等几大智能生活领域的硬件安全问题。
两天比赛期间,包括360安全路由器、小米路由器、TP-link旗下的随身路由器、极路由、360儿童卫士、小米盒子、锤子手机等众多热门智能硬件全部面对世界顶级黑客的挑战。
微信实现“无人驾驶”特斯拉
智能手机的安全隐患有多严重?10月24日, Keen Team采用互动游戏的方式,让7位业余观众一次性“黑掉”70款主流安卓手机。Keen Team负责人王琦介绍游戏规则,谁能最快将手机攻破夺取手机控制权,将获得70款手机中的任一一款。而完成它只需要使用一个Keen Team设计的APP,这仅仅是利用了Keen Team研究近半年来移动系统安全漏洞中的几个芯片级高危漏洞。
游戏结束后,王琦留下获奖者,让其将奖品手机关机,并对手机说一句话。随即会场内的麦克风响起获奖者说的声音。王琦解读,他的手机在他关机且不知情的情况下被攻破,正是利用了“斯诺登”式方法,化身成为黑客的监听器,上演现实版的“窃听风云”。
而清华大学段海新教授现场展示了一项利用未公开的漏洞劫持HTTPS加密银行交易,电子银行将化身黑客的提款机。
“这是一项影响巨大的网络基础协议设计中存在的漏洞,无需木马、无需钓鱼,就可以让你打给别人账户的钱悄无声息转到我的账户里。”段教授解释道。
接下来,会场外那辆被架起来的“最安全智能汽车”——特斯拉成了安全团队的挑战对象。利用Keen Team与V2S研究团队发现的安全漏洞,现场随机的观众在自己的手机上用微信就实现了特斯拉的“无人驾驶”,并且现场演示了特斯拉在行驶状态下被悄无声息远程控制从前行突然变为倒车,甚至熄火失控的全过程,即使是顶尖极客评委,也露出惊讶的表情。
值得一提的是,GeekPwn的组委、国内盘古安全团队还将在GeekPwn大会第二天,带来iOS8全球第一个越狱的首秀。
以安全之名
对于漏洞,王琦表示,Keen公司举办GeekPwn的初衷并不是为了炫技,而是通过攻破并发现智能设备的漏洞,推动厂商提高产品的安全性,进而为消费者使用安全提供保障。“我们希望发现更多的安全极客人才,和我们一起发现和消灭安全问题,共同保护我们的未来生活。对于攻破的产品来说,也是非常好的促进,因为我们相信,产品被发现和消灭的安全问题越多,产品越安全。这是GeekPwn首倡的新安全观。”
据悉,GeekPwn愿意将发现的漏洞按照业界规则及时提交给厂商,并协助其修复漏洞和安全隐患。在厂商修复漏洞之前所有细节不会对外公开,避免被人利用。
据了解,GeekPwn破解挑战赛比赛项目覆盖智能家居、智能穿戴、智能终端、智能交通、智能娱乐五大智能生活安全领域,并获得政府单位以及谷歌、腾讯、微软、华为、联想等全球知名企业的赞助和支持,为了吸引极客人才,主办方赛前就公布选手黑掉什么、就可以拿走什么,即便是特斯拉。
责任编辑:小燕编辑