10月25日消息,昨日世界级黑客大赛GeekPwn嘉年华在上海举行,在本次大赛上,黑客成功攻破无人机、金融支付工具、O2O应用、智能家居等,看了以下这些你还觉得安全吗?自从大疆在摄影圈掀起无人机的热潮,无人机便频频出现在人们的视野中:金球奖颁奖典礼上,无人机实时传送航拍画面;歌手汪峰利用无人机运送戒指向章子怡求婚……无人机日趋平民化,使用范围也越来越广。
选手利用无线劫持技术介入获取对大疆无人机的控制权
大疆无人机被黑客劫持
但与火爆相应的是,无人机正面临着火爆发展与安全瓶颈的两厢博弈。在本次GeekPwn嘉年华,选手就在外场演示了劫持无人机。
一架大疆无人机在评委“老鹰”的操作下起飞,按照老鹰的遥控指稳定飞行,老鹰将无人机遥控器放置在一边,不料,此时无人机旋翼开始缓缓转动并飞行起来。
选手介绍称,他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。
移动支付POS机被操控可转走任意金额
随着移动支付的普及,相信不少人已经习惯出门少带或者不带现金,选择使用更为便捷的移动支付,但是这种“方便”的支付方式却存在着“可怕”的安全隐患。
在本次大会上,选手就成功破解了拉卡拉收款宝POS机、盒子支付POS机和苏宁易付宝,可转走银行可和账户任意金额。
选手演示了通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡完成一次查询余额的动作,之后会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码就可以转走前面银行卡上的余额。
整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。
同样,卡内资金被消费的现象也出现在了GeekPwn智能软硬件挑战赛中选手攻破苏宁易付宝的现场。选手让银行卡轻松“易主”。用户仅通过一次刷卡消费,选手便可轻松劫持易付宝的帐号、密码以及支付密码,然后设置转帐金额,即可从易付宝余额或者绑定的银行卡转走任意金额。
O2O支付接口漏洞让黑客任性买买买
最近两年O2O领域涌现出一大批创业公司,这些公司为用户提供了便捷、高效、高性价比的服务,但由于技术薄弱,在支付接口方面存在漏洞,很多O2O易被黑客攻破,可以完成任意价格的订单充值,任性买买买。
白帽黑客现场演示了如何利用嘟嘟美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。
现场选手还进行了利用“阿姨帮”系统未知漏洞,进行任意充值的的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。
有趣的是,这位选手原本报名的是一个名为“e家洁”的O2O项目,因为在大会当天,官方关闭了云服务,经过选手短暂的协商后,临时改为“阿姨帮”。
智能家居产品存隐患智能摄像头被肆意控制
现在,智能家居类产品已逐渐步入寻常百姓家, 数据显示,2014年中国的摄像头出货量大约是3500万,到2018年预估会达到7500万。
目前市面上的智能摄像头都主打安全牌,主要为用户提供实时监控功能。然而GeekPwn选手现场演示证明,黑客可以让智能摄像头变成侵犯用户隐私的道具。
在本次GeekPwn嘉年华上,长亭科技的参赛选手一次性攻破7款智能摄像头。选手接入摄像头所在的网络,远程向摄像头发起攻击,远程获得摄像头ROOT权限,并进一步窃取视频、控制摄像头运动、播放篡改音频。
除了摄像头,选手还现场演绎攻破智能烤箱,随意调节其温度、频率等。电影中烤箱爆炸的情景或许真的可能在现实生活中上演并威胁生命安全。
GeekPwn选手表示,智能家居软硬件如果被攻破,你可能在睡梦中被忽明忽暗的灯光惊醒;在不经意间,用以远程操作的手机APP被不法分子入侵,个人信息被尽收眼底;智能门锁被任意操控,大门洞开……各种家居智能设备都可能成为噩梦,期望的智能安全生活将被搅的一塌糊涂。
此外,在本次大赛上,参赛的黑客选手还成功演示破解了华为、360奇酷手机等手机产品。
看了上面几个黑客的演示,你可能会觉得害怕,但是不要过于担心。GeekPwn嘉年华是一个白帽黑客大赛,主张“问题被发现和解决的越早,产品越安全。”
在活动结束后,GeekPwn组委会将第一时间负责任地向厂商提供漏洞报告,帮助厂商修复漏洞,提高产品安全性。据主办方介绍,在去年GeekPwn现场攻破演示后,锤子科技、特斯拉、奇虎360等厂商都利用GeekPwn提供的漏洞报告及早修补了产品系统漏洞,从而避免了潜在的安全隐患。