在移動支付越發(fā)頻繁的今天�����,金融領域的漏洞所面對的形式越來越嚴峻。通過手機端,未來智能家居��、家用監(jiān)控控制都有可能成為黑客攻擊的入口����。
你的卡不是你的卡,而且別人無需劫走你密碼;你家的攝像頭不是你的攝像頭����,因為它幫別人偷看你家;你操控無人機技術再好,但現(xiàn)在你控制器在你手上���,它卻被別人操縱了……這種黑技術�����,只有《碟中諜》里才有?10月24日���,被業(yè)內譽為“中國黑客奧運會”的GeekPwn 2015嘉年華拉開帷幕,國內多個頂尖“白帽子(安全黑客)”團隊在滬巔峰對決����。繼去年“黑”了特斯拉電動汽車后,今年金融支付�����、無人機�����、O2O及智能家居等成了“白帽子”們展示出的重點“攻破”對象。
金融支付:黑客不要你密碼
移動支付越來越普遍�,但也許你根本沒告訴過別人你密碼,你的卡就能讓被別人任意買買買!在當天的演示中���,選手還輕松攻破了拉卡拉收款寶POS機�����、盒子支付POS機等���,攻擊者可以不受限地用偽造卡盜用被攻擊者的銀行賬戶。值得一提的是�,手機應用和移動終端的手寫簽名功能并未識別出偽造者。此外����,通過銀聯(lián)賬戶交易系統(tǒng)�,黑客可以盜刷用戶銀行卡。據(jù)悉��,黑客利用SSL互聯(lián)網底層協(xié)議的未知漏洞在用戶不知不覺中查詢余額和消費記錄��,能讓普通用戶的個人隱私將被侵害,個人信息一覽無遺�����。由于涉及財產安全�����,金融支付工具和渠道的安全威脅影響面更廣���、破壞力更大�。
O2O應用:手機還在你手里
O2O服務已滲透到衣食住行方方面面����,家政、餐飲��、美業(yè)����、生鮮、保健等O2O應用更是風生水起��。昨天,“白帽子”們現(xiàn)場演示了如何利用“嘟嘟美甲”“阿姨幫”等熱門應用上的系統(tǒng)漏洞���,通過在自己手機上調用支付寶����,在實際支付1分錢的情況下���,就完成任意價格的訂單充值;此外���,還有全國最大的上門推拿按摩平臺“功夫熊”、極速在線選座購票平臺“微票兒”等O2O服務平臺���,昨天也被演示“攻破”���。專家指出,雖然各類生活服務類應用如雨后春筍般在國人的手機上“猛長”�����,但由于有些本身安全能力有限���,很多O2O產品都在支付接口有著類似的漏洞,惡意黑客可借此不知不覺“入場”���,偷獲用戶手機號�、家庭住址、平臺賬號等關鍵信息�����,甚至威脅到用戶的財產和人身安全��。
智能家居:攝像頭變監(jiān)控你
當你進入夢鄉(xiāng)�,卻被伴隨著音樂節(jié)奏變得忽明忽暗的智能床燈驚醒;當你在家中自由活動,卻不知道私生活已經通過攝像頭直播給別人……本屆嘉年華上��,攝像頭���、無人機��、智能烤箱�、智能路由器����、智能插座及智能家居套裝在內的智能家居項目,占據(jù)了GeekPwn挑戰(zhàn)總項目的一半�,不難想象如今風頭正勁的智能家居正面臨著極大的安全挑戰(zhàn)。
現(xiàn)場尤其長亭科技(藍蓮花 CTF 戰(zhàn)隊)演示的一次性攻破7款智能攝像頭最具看點,“黑客”們能接入攝像頭所在的網絡��,遠程獲得攝像頭ROOT權限�,并進一步控制攝像頭運動方向、竊取已錄視頻甚至播放篡改音頻��,這不禁讓人聯(lián)想到美國電影里攝像頭殺人的情節(jié)���。數(shù)據(jù)顯示���,2014年中國的攝像頭出貨量大約是3500萬,到2018年預估會達到7500萬����,其安全漏洞一旦被犯罪分子利用后果不堪設想。
“我們辦會的目的有兩個����,一是不要嚇唬用戶,二是不要威脅廠商�����。”在這場與Pwn2Own齊名的世界級黑客大賽上����,昨天包括“老鷹”、“袁哥”�、清華諸葛建偉等國內知名安全專家都參與擔任了現(xiàn)場評審。同時����,華為、360���、小米等廠商安全負責人也參加了現(xiàn)場活動���,挑戰(zhàn)賽后組委會第一時間向現(xiàn)場廠商提交了漏洞報告。據(jù)江湖外號“大牛蛙”的GeekPwn發(fā)起和創(chuàng)辦人王琦表示���,GeekPwn 嘉年華將會第一時間把漏洞報告負責任地提交給廠商���,推動廠商修復安全漏洞,提高產品安全性�。“以攻為防——問題被發(fā)現(xiàn)和越早解決,產品越安全�����,用戶越安全。”昨天傍晚�,在會上被“黑”的拉卡拉就在其官方微博上對此公開積極響應,表示目前已經完成系統(tǒng)升級��,且歡迎來自各方的挑戰(zhàn)和專業(yè)建議��,以共建系統(tǒng)安全����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網共享平臺。如使用任何字體和圖片文字有冒犯其版權所有方的���,皆為無意����。如您是字體廠商��、圖片文字廠商等版權方�����,且不允許本站使用您的字體和圖片文字等素材��,請聯(lián)系我們�,本站核實后將立即刪除��!任何版權方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的,均視為新型網絡碰瓷及敲詐勒索�����,將不予任何的法律和經濟賠償����!敬請諒解!
粵公網安備 44030402000264號