5月12日爆發(fā)的比特幣病毒事件所帶來的連帶效應(yīng)依然在網(wǎng)絡(luò)中肆虐�����,這場爆發(fā)在包括英國、意大利��、俄羅斯等全球國家范圍內(nèi)的勒索病毒攻擊���,只有支付高額贖金才能恢復(fù)�����,一旦逾期未支付��,資料將被永久銷毀。
根據(jù)《每日郵報》稱���,至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機構(gòu)遭到網(wǎng)絡(luò)攻擊����,這些機構(gòu)包括醫(yī)院和全科醫(yī)生診所�����。
有專家表示,隨著周一工作日的到來����,有更多電腦開機,勒索病毒會卷土重來���。
但事實上���,在這個黑客潛行的網(wǎng)絡(luò)世界,只要聯(lián)網(wǎng)的設(shè)備����,基本上可以斷定是不安全的。然而就在比特幣病毒肆虐的同時�����,一群來自全球范圍內(nèi)的白帽黑客卻聚在了2017國際安全極客大賽極棒年中賽�����,在一場驚心動魄的破解大賽正在進行中���。
作為全球首次海上安全極客大賽����,GeekPwn挑戰(zhàn)智能領(lǐng)域一切漏洞,覆蓋智能出行��,智能家居�、智能手機、智能手表等智能生活的所有領(lǐng)域���。
共享單車很火���?黑客來給你降個溫
五顏六色的共享單車,聚集在中國各大城市的街頭巷尾���,這種火爆從2016年開始一直持續(xù)至今���,而且熱度絲毫未減�,反而持續(xù)升溫。但如今��,共享單車企業(yè)們要注意了��,因為街上騎行的每一輛車都可能已經(jīng)成為黑客的目標。
作為本次參賽選手中唯一的女黑客“tyy”�����,就將攻破目標鎖定在了共享單車����。比賽現(xiàn)場,“tyy”利用漏洞成功獲取了評委老師的共享單車賬號����、余額、騎行記錄等隱私信息�����,通過場外連線用評委的共享單車賬號開鎖��、騎行消費�。
就這樣,在座的評委身體未動��,但就這樣莫名其妙穿越去上海騎車了�。
女黑客“tyy”破解共享單車
作為非科班出身的選手,“tyy”業(yè)余時間熱愛鉆研安全技術(shù)�����, 用1個月的時間就找到4款共享單車的漏洞����,并登上了GeekPwn的舞臺。
當然�,除了共享單車,與“車”有關(guān)的小米平衡車也中槍了����。來自安恒海特實驗室的rainman將其攻擊目標鎖定在另一款智能出行設(shè)備:小米9號平衡車。這位黑客利用組合漏洞��,通過電腦藍牙連接平衡車�, 在電腦上運行腳本,就可繞過密碼�����,通過程序腳本完全遠程控制平衡車�����,讓其無法移動和關(guān)機��。
不過選手也表示���,這次發(fā)現(xiàn)的漏洞適用于無人狀態(tài)下�,在平衡車上有人時���,是無法實現(xiàn)遠程操控的���。
你隨身戴的手表,極有可能是一個竊聽器
其實智能手表誕生已經(jīng)多年了�,它也一度被資本退至風(fēng)口浪尖,但是如果你現(xiàn)在正戴著一款智能手表�,那么極有可能有人正在竊聽你的行蹤。
來自百度的資深安全工程師“小灰灰”在2017國際安全極客大賽極棒年中賽上���,揭露了小天才����、米家小尋等當前主流兒童智能手表存在的安全漏洞�。這些高危漏洞不僅會造成兒童與家長的敏感信息泄漏,還能被利用進行配置修改����、信號劫持����,甚至是完全控制����。
智能手表被現(xiàn)場破解�����,成為竊聽器
小灰灰現(xiàn)場演示了兒童智能手表存在的安全風(fēng)險:
第一類攻擊選手利用兒童手表的各種通訊協(xié)議漏洞����,成功在電腦端完全操控手表:比如修改手表內(nèi)已存的聯(lián)系人號碼,將父親名字下的手機號替換成自己的手機號�����、完全偽造成孩子的手表和家長的APP進行語音互動�、任意更改掉手表綁定的APP;
第二類攻擊是針對移動通訊GSM系統(tǒng)單向認證機制缺陷所發(fā)起的信號劫持:孩子撥通手表上父親的號碼�����,而接到電話的卻是小灰灰本人。
小灰灰介紹�����,目前市面上的兒童智能手表都還只支持2G網(wǎng)絡(luò)���,而移動通信GSM系統(tǒng)設(shè)計上存在單向認證機制的缺陷。小灰灰此次正是通過修改 GSM 廣播信道相關(guān)參數(shù)實現(xiàn)了自動附著�,從而能夠?qū)崿F(xiàn)語音、數(shù)據(jù)信號的劫持和分析�。
今后,GSM 尤其是 GPRS 的中間人方法還會大大拓展包括自動售貨機�、共享單車鎖、工業(yè)采集設(shè)備等一大批智能設(shè)備的攻擊面�����。
除此之外���,與智能手表帶有智能屬性的 智能家居 也被黑客“一網(wǎng)打盡”了�。來自百度安全實驗室的謝海闊�、黃正就利用門鎖通信協(xié)議漏洞成功在無需物理接觸,無需拆解門鎖的情況下遠程秒破攻破果加智能門鎖�,獲得所有開鎖密碼�。
值得一提的是�����,果加智能門鎖是中國目前使用量最大的智能鎖品牌���,被多個公寓品牌所使用���,其在京東自營店公布其用戶數(shù)已超過100萬。
是什么讓你智能的家完全失控��?來自看雪智能硬件小組的選手們通過智能門鈴與云端的通訊協(xié)議漏洞����,不僅使智能門鈴響起了“怪聲”,還跨公網(wǎng)接管了一系列智能家居設(shè)備�����。
對于黑客來說��,不管在世界的哪個角落�����,一根網(wǎng)線,就可以控制所有連接到他云平臺的智能設(shè)備�����。
“手機僵尸”����,來自網(wǎng)絡(luò)世界里的“生化危機”
如果說以上被黑產(chǎn)品���,也不足以讓你咋舌����,那么來自騰訊玄武實驗室X興趣小組帶來一種新的移動安全威脅模型Wombie Attack足以讓你刮目相看了���。
Wombie Attack技術(shù)通過被感染者在地理位置上的移動來實現(xiàn)攻擊擴散���,很類似僵尸題材電影的情節(jié),被僵尸咬了的人也變成僵尸�����,會再去咬其他人���。
騰訊玄武實驗室“X興趣小組”
Wombie Attack不但可以實現(xiàn)傳染式攻擊,而且攻擊過程不依賴互聯(lián)網(wǎng)����,所以甚至無法從網(wǎng)絡(luò)層面檢測攻擊。選手在現(xiàn)場演示了用一臺手機 A入侵附近的手機 B�����,并將手機 B 改造為新的攻擊者����。然后手機 B 在靠近手機 C 時會自動入侵手機 C,并竊取了 C 中的數(shù)據(jù)���。當 B 再次`回到 A 附近時���,A 又從 B 上取得了從 C 中竊取的數(shù)據(jù)。
怎么樣����?來自互聯(lián)網(wǎng)���,攻擊方式卻毫不依賴互聯(lián)網(wǎng),但隨時可以實施攻擊��,獲取你的數(shù)據(jù)和信息��。是不是很可怕���?
智能生活的普及��,確實給用戶帶來了便利����,但同時也給攻擊者開了一扇掌控你的大門�����,這對于每個網(wǎng)民來說���,是多么痛的領(lǐng)悟。
微信掃一掃
