5
| 本文作者: 史中 | 2016-03-16 12:51 |
今年的315晚會,不經意間成為了晚會版的“黑客帝國”。
似乎所有的技術宅在這個晚上都開始了狂歡,對各路軟硬件和Wi-Fi開始狂轟濫炸。其實,每一個智能產品背后的漏洞,都有這些白帽子黑客的不懈努力。
說到晚會的高潮,莫過于現場的“黑客秀”:
黑客們架起的釣魚Wi-Fi,利用路由器漏洞,對接入安全正規Wi-Fi的現場觀眾手機進行流量監聽,輕松獲得其APP訂單相關隱私信息:個人身份、喜歡吃什么、每天的出行路線、上門服務訂單等等,在舞臺大屏幕同步呈現其完整生活軌跡,十分震撼。
事實上,央視上展示的路由器漏洞是2015年GeekPwn黑客大賽選手之一上海交大0ops戰隊的研究成果,而主辦方KEEN公司則為315晚會這個互動環節的提供技術支持。而在晚會上幾度出境的萌叔王琦,正是GeekPwn黑客大賽創辦人,KEEN 公司 CEO。
【GeekPwn黑客大賽創辦人,KEEN 公司 CEO 王琦】
315所曝光的智能產品漏洞,正是 GeekPwn 的黑客們主要研究的方向。
據GeekPwn智能安全專家介紹,
目前市面上多數路由器都曾被發現過安全漏洞,可以被遠程入侵控制,接入這些路由器的手機,只要APP在傳輸個人隱私信息時沒有進行加密,都有可能導致個人隱私泄露。GeekPwn安全專家檢查了部分常見手機 APP ,發現不加密通信狀況在各種手機 APP 中非常普遍。通過路由器的漏洞,這種不加密的隱患在現實中被放大了,不僅照片、姓名,電話等常用信息會被泄露,甚至包括家庭住址、身份證號碼、銀行卡號、個人生理周期等各種個人私密信息。
通過對這些信息的組合,基本上可以比較準確地勾勒出目標對象的基本生活習慣,從而為攻擊者進行下一步的攻擊打開方便之門。比如315晚會上主持人就假設,如果O2O到家服務泄露了上門時間、家庭住址,如果壞人冒充來上門怎么辦?
【315晚會上,諸多智能產品被黑的“黑客大片”】
網絡安全與智能生活安全成為央視315晚會重點曝光對象,不僅有利用路由器漏洞獲取觀眾隱私信息的情景互動,更有智能生活安全“黑客大片”上演。
正在執行任務的無人機突然被劫持、家中的智能插座失控導致燈光不停閃爍、智能烤箱突破溫度限制自行開始升溫、智能攝像頭監視下的上海深圳兩地家庭的生活畫面一覽無遺、銀行卡中的錢不知不覺被智能POS機轉走……央視315晚會上的“黑科技大片”讓全國觀眾眼界大開。
而這部短片正是央視聯合知名黑客賽事平臺GeekPwn共同制作的,其中展現的基本全部來自于歷屆GeekPwn黑客大賽上選手真實的漏洞比賽項目。
借助各種各樣的智能設備,我們的日常行為都被進行了數字化,幾乎所有的智能設備都存儲或傳輸著我們的個人信息,或者執行我們所發出的指令。而現階段的智能設備領域尚處在初級階段,很多以“智能”為賣點的設備并非真正的“智能“,更非現在熱點的人工智能,而僅僅是增加了網絡控制功能。
【現場展示的釣魚Wi-Fi】
GeekPwn(極棒)黑客大賽創辦人王琦表示,
消費者可以使用手機遠程控制一臺電風扇,但電風扇還遠遠未發展到具備分析消費者使用習慣進行智能送風的階段。如果廠商僅僅重視用戶體驗來搶占市場、而忽略了產品的安全設計和開發,增加的網絡控制功能就可能成為反被惡意攻擊者利用的通道,輕則泄露信息,重則危害公共或人身安全。
“產品硬件有問題,很容易理解是產品質量問題,而智能設備如果存在安全漏洞,導致消費者可能被惡意入侵,是不是也應該屬于質量問題呢?”王琦拋出了這個觀點,他認為,如果通過這次315能夠幫助智能行業安全能力水平趕上整個產業的發展速度,普通消費者的權益才會得到更好的保護,廠商也才能獲得更長遠的發展。
值得欣慰的是,經過兩年的發展,GeekPwn黑客大賽中被攻破的智能產品廠商已經逐漸意識到產品安全等同于產品質量的重要性,并認可了極棒的安全觀:“世界上不存在完全沒有安全漏洞的智能產品,但是安全漏洞被發現和消滅的越早,智能產品越安全。”央視315短片中的絕大多數廠商也都已經及時修補了漏洞。“安全性是攻防對抗之間的一個平衡,勇于接受白帽黑客的挑戰,并及時修復自己產品漏洞的廠商,是值得信賴和尊敬的。”王琦說。
智能產品正在經歷井噴,幾乎每個人都在和它們打交道,那么到底智能產品可不可以信賴呢?
GeekPwn安全專家認為,
作為普通消費者的我們大可不必驚慌,事實上這些場景都是維護正義的白帽黑客為了警示智能產品廠商做的公開演示,在現實中這些危害本身尚未完全顯現。
但不可否認的是,智能產品已經成為我們生活的一部分,而智能行業的安全意識和安全能力都比較低下,對此我們再也不能繼續忽視下去了,智能小漏洞可能造成生活大危害。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
