“黑客奥运会”在沪上演 智能设备安全漏洞引关注
图为GeekPwn选手现场攻破盒子支付POS机场景。
中新网上海10月24日电(记者 许婧)有“黑客奥运会”之称的GeekPwn 2015嘉年华24日首次移师上海举行,吸引了众多“白帽子黑客”参与这场国际性智能软硬件挑战赛。
超过40款主流软硬件产品成为选手攻破对象,涵盖8大领域。活动过程中,包括小米、华为等主流手机品牌纷纷成为选手的目标;7款摄像头悉数被攻破,联想、海尔等品牌智能家居产品等也成为攻破对象,毫无疑问,移动支付、O2O、智能家居等领域的参选项目数量最多,成为今年的热点。
由于项目规模庞大,主办方通过安排舞台3个项目同时进行比赛。
比赛现场,一架大疆无人机在评委“老鹰”万涛的操作下起飞,按照老鹰的遥控指令在会场上空稳定地盘旋着。然后,万涛将无人机遥控器放置在一边,不料,此时无人机自行缓缓地飞行起来,直到稳定地落到万涛的身边。这是GeekPwn嘉年华选手现场演示劫持无人机的画面。
另一边的比赛选手提前向观众展示两张银行卡的余额,选手通过安卓手机绑定拉卡拉收款宝POS机,通过手机劫持交易信息,接着再用银行卡完成一次查询余额的动作,之后会将交易信息劫持下来,用另一张卡去刷卡转帐,输入任意密码就可以转走前面银行卡上的余额。整个过程选手本身并未直接接触该银行卡,更没有获得该卡密码。
主办方KEEN公司CEO王琦表示,站在互联网+的风口,各类O2O服务已经成为日常生活的一部分,一旦应用存在安全风险,不仅对用户个人生活造成威胁,也威胁着平台商的数据和资金安全,以智能家居类产品为例,这类产品已逐渐步入寻常百姓家,但如果这些智能硬件的漏洞被黑客利用,甚至会威胁人身安全。
他介绍说,参赛的选手演示了如何利用O2O应用的未知漏洞攻破系统来免费下单、修改客户订单、获取数据库信息,现场的演示证明,黑客可以让智能摄像头变成侵犯用户隐私的道具,远程接管智能烤箱、智能插座等家居类产品的控制权。“在GeekPwn和安全极客的协助下,以上问题被及早发现,提醒和协助厂商修复漏洞,从而大大降低了潜在的安全风险,让智能生活更安全。”
除了紧张的比赛,GeekPwn嘉年华还有独具特色的黑客主题创意设计和科技化互动娱乐活动,进入洗手间也是一项挑战,因为任何人进入洗手间都需要先破解密码题目。
此外,GeekPwn现场还提供了极具纪念意义和爱心关怀的极棒主题T恤、极棒戒指、极棒勋章、极棒PIN牌等各种黑客主题周边产品。GeekPwn组委会通过义卖纪念品为“儿童安全守护计划“公益项目筹集善款,用黑客精神守护儿童安全。
由知名安全团队KEEN主办的全球首个关注智能生活的GeekPwn 2015嘉年华也备受政府及行业关注。上海市信息化青年人才协会顾问、共青团上海市委员会副书记王力为,腾讯安全负责人丁珂,惠普安全研究院漏洞主管、Pwn2Own组织者Brian Gorenc等嘉宾出席了嘉年华启动仪式并发表致辞。