[table=100%,#ffffff,#262626,5][tr][td] [/td][td] [/td][td] [/td][/tr][tr][td] [/td][td] [align=center]
[b][size=4][font=微软雅黑]智能设备破解挑战赛:特斯拉实现无人驾驶[/font][/size][/b]
[table=85%,#ffffff,#262626,1][tr][td][align=center]
我们见证了主流的智能手机漏洞,网银的公开网络基础协议漏洞,同时也目睹声称最安全的智能汽车特斯拉被Keen Team团队成功破解并实现无人驾驶。
[img]http://img1.gtimg.com/digi/pics/hv1/202/123/1733/112719892.jpg[/img]
智能设备破解的那些事儿
[flash=480,400,0]http://static.video.qq.com/TPout.swf?auto=1&vid=g0015w3wu1f[/flash]
腾讯数码讯(汪洋)10月24日消息,今天GeekPwn(极棒)安全极客嘉年华在京举办,在这次智能设备破解挑战赛上,我们见证了主流的智能手机漏洞,网银的公开网络基础协议漏洞,同时也目睹声称最安全的智能汽车特斯拉被Keen Team团队成功破解并实现无人驾驶。据悉,本次赛事是由Keen Team担任主办方,共持续为期两天的时间。
本届极客嘉年华活动的开场形式做得非常有创意,用伪全息的方式请来“乔帮主”助阵,简短的开场白之后,9:50活动正式开始。
GeekPwn活动创办人、主办方Keen创始人王琦表示,希望GeekPwn今年可以做的更加有趣味性,让用户可以在现场体验到各种新设备。GeekPwn想成为挖掘人才和技术的社区化平台,当然也要依托于众多合作伙伴的帮助。
据王琦表示,今天上午的活动主要是“组委热身秀”。在这个热身秀之后,会演示Google Nest智能家居被攻克。下午则是针对路由器、门锁、手环等内容的漏洞演示,让嘉宾可以了解到现在的智能生活是否安全。明天则是盘古团队iOS 8越狱等破解演示。
在一段精彩的舞剑之后,第一个演示环节是针对未公开Android高危系统漏洞的手机攻破秀,由Keen Team团队演示。
手机关机也能被窃听和偷拍
[img]http://img1.gtimg.com/digi/pics/hv1/207/123/1733/112719897.jpg[/img]
测试人员Peter这次测试的的机型是酷派大神F1手机,这是一部全新的设备。现场展示了如何利用芯片级的漏洞来控制整个手机,被侵入的设备重启画面被改为GeekPwn标识符。
为了进一步验证,Keen Team还准备了70台设备在现场直接攻克,并邀请7位用户上台在最快的时间内将启动画面更改为GeekPwn标识符,获奖者可以获得此环节奖励的无人机。
[img]http://img1.gtimg.com/digi/pics/hv1/208/123/1733/112719898.jpg[/img]
通过实际的测试可以看到,被入侵的设备接入SIM卡后,就算是将设备直接关机,使用另外一个手机拨号也可以直接拨通,此时就可以进行窃听以及实现偷拍的操作。
利用未公开漏洞劫持HTTPS加密银行交易
[img]http://img1.gtimg.com/digi/pics/hv1/209/123/1733/112719899.jpg[/img]
此环节现场准备了两台Macbook设备,一台是受害者的设备,另一台用来攻击操作。清华大学段海新教授及其团队进行了全程演示。通过复制受害人的Gmail账号,实现了利用伪造通讯录名单给受害人发送假消息的过程。
这个漏洞会被用在窃取用户银行交易信息中。当受害人登陆银联账号并添加自己的银行卡准备消费时,此时网页会要求受害人绑定手机号。这种自认为安全的验证模式添加完成之后,你会发现受害人的电脑中并没有成功添加银行卡。此时信息却会被添加到攻击者的电脑上。这也就是HTTPS加密系统存在的最大漏洞。
另外一个演示是支付时出现的问题。受害人点击支付之后,钱会直接转移到攻击者的账户中。 攻击者通过交易监控就可以实现,此时出现的订单也都是虚假的。受害者的交易过程会自动输入到攻击者的电脑中,甚至连输入验证码也可以同步过来。最终支付之后,攻击者的电脑便会收到用户的付款,但此时受害人的订单还是提示未支付成功。
特斯拉被入侵,实现无人驾驶
[img]http://img1.gtimg.com/digi/pics/hv1/210/123/1733/112719900.jpg[/img]
下面这个测试环节并不是攻克智能设备,号称最安全的智能汽车——特斯拉也没能幸免。利用Keen Team与V2S研究团队发现的安全漏洞,现场被请上台的观众用自己的手机登陆网页就实现了控制特斯拉车门、后备箱开启等相关的操作。这还不算完,通过漏洞程序,还可以控制特斯拉的前进和倒车,实现了真正的无人驾驶。试想一下,这要是被黑客利用的话,你还敢坐这样的特斯拉么?
智能设备与日俱增,安全隐患令人担忧
今天智能设备越来越多,基本上覆盖了生活的方方面面,但随之而产生的隐私、安全危机也令人很头疼。据王琦表示,Keen公司这次举办GeekPwn的初衷并不是为了炫耀技术,而是想通过演示的方式让大家看到漏洞的危害,从而提高厂商在安全方面的整体防范意识,为消费者提供更安全保障。
据了解,今年GeekPwn破解挑战赛比赛项目覆盖智能家居、智能穿戴、智能终端、智能交通、智能娱乐五大智能生活安全领域,并获得政府单位以及谷歌、腾讯、微软、华为、联想等知名企业的赞助和支持,奖金池额度高达300万元人民币。
[img]http://img1.gtimg.com/digi/pics/hv1/0/125/1733/112720200.jpg[/img]
腾讯副总裁丁珂表示,腾讯之所以赞助GeekPwn,是因为GeekPwn专注于智慧设备安全性的理念与腾讯开放、共享、联合的核心价值观相符,腾讯愿意与活动的主办方KeenTeam为代表的优秀安全公司一起做好安全。
如今GeekPwn与Pwn2Own、 DEFCON CTF并列为世界三大安全赛事,为了保证大赛的规格和专业度,GeekPwn对海量的参赛选手和项目进行严格的筛选,还选择业内知名安全专家组成顾问团队和评委阵容。
在笔者看来,GeekPwn对于极客们和厂商来说都是可以受益的。前者可以借助这样的舞台来展现自己在漏洞领域研究的最新进展。后者则可以通过平台了解到自己产品存在的安全隐患。在接下来的一段时间,GeekPwn还会开设高峰论坛,与业内人士探讨智能硬件发展趋势和未来智能生活的安全问题。
[/align] [/td][td] [/td][td] [/td][td] [/td][td] [/td][td] [/td][/tr][/table][/align]
[/td][td] [/td][/tr][tr][td] [/td][td] [/td][td] [/td][/tr][/table]