黑客白话: 客厅的路由器 会出卖你

  次阅读 来源:互联网(转载协议) 2016-01-22 09:58 我要评论(0)

关健

就像硬币的两面,物联网智能家居和黑客攻击正在经历一场此消彼长的漫长博弈。

有这样一个真实的场景,一名消费者走进一家咖啡馆,连接店内WiFi收发邮件、登录网银,结果店内的无线路由器已经被黑客挟持,消费者的邮箱和网银密码被获取,完全暴露在黑客面前。

全球黑客大赛GeekPwn创始人、上海白帽黑客团队碁震Keen公司CEO王琦对《第一财经日报》记者说,国内互联网厂商在产品上存在各种系统漏洞,让资金和隐私存在风险,黑客大赛的目的不是一味去发现各种漏洞,而是帮助厂商完善自身产品的安全性。

路由器漏洞下的风险

19日下午,一名白帽黑客向本报记者演示了通过路由器获取用户网上银行密码的全过程。咖啡馆内WiFi路由器因为自身漏洞被黑客通过DNS解析而劫持,消费者从搜索网站进入网银时,实际上跳转登录的是由黑客做的假银行镜像网站,但其域名和页面与真银行网站一模一样。消费者在输入网名、账号密码时,实际上是直接明文发给了黑客。

在这个过程中,消费者在操作上并没有犯任何错,咖啡馆并不知道自己的路由器已被黑客劫持,主要责任被指向了路由器厂商,产品本身的安全漏洞让黑客轻易攻破。王琦说,他们的团队曾列出市面上常见的路由器产品,作为黑客比赛的题目,结果无一例外均被选手攻破。

眼下,从智能门铃到智能空调,智能电器正在占领消费者的客厅和卧室,这些设备无非是通过WiFi(或蓝牙)联网,家里的无线路由器相当于各种智能电器的总网关,一旦因漏洞被黑客劫持,就等于这些设备均已在黑客的控制中。

黑客攻击WiFi或无线路由器的能力有多强?一名白帽黑客大咖向《第一财经日报》记者讲了一个亲历的故事。他之前去新加坡参加一个黑客大会,在黑客云集的会场内,他只是打开了手机的WiFi功能,并未连接任何一个WiFi,但他突然发现手机自动连接他在上海的办公室WiFi。他赶紧关机,回到酒店后把自己所有密码改了一遍。

“用户能做的是尽量使用复杂密码,将不同领域的密码分开设置,如果一定要连公共场所的WiFi,不要登录网银,甚至连邮件也别收发,就用3G或4G网络。”王琦对此建议。

攻防战

在微软安全响应部门(SRC)工作了7年后,技术出身的王琦创业开办了黑客大赛GeekPwn,他的初衷是希望通过选手的模拟攻击,找出漏洞,帮助厂商提高互联网产品的安全性。“微软Windows的安全性已经很强了,但还是不断有各种补丁推出,国内这些创业公司生产的软硬件设备,安全漏洞可想而知。”他说。

举例来说,现在支付用的POS机越来越智能,以前能连接PC,现在可以连接手机,但有黑客就能利用POS机的漏洞进行重放攻击,即重放前一个消费者的刷卡动作,等于刷自己的卡花别人的钱。金钱和隐私,永远是用户最敏感的那根神经。

好在,微软安全响应部门所做的事情正在得到越来越多厂商的重视。像阿里的“神盾局”、携程、京东等,都在做信息安全防范工作。但后台系统漏洞被第三方监控机构识别,用户密码被集体泄露等事件仍不绝于耳。

一位信息安全人士对《第一财经日报》记者说,互联网公司之间的口水战很常见,公关层面的对决只是明面上的交锋,暗地里雇用黑客攻击对手的后果会更严重,比如一些O2O项目,黑客可以用一分钟下一个美甲的订单,或者同时叫到1000辆专车,“抓住漏洞控制了系统,想做什么攻击都很容易了”。目前,已发生过因黑客攻击让上市公司市值瞬间蒸发将近一半的案例。

像GeekPwn、Pwn2Own、DefConCTF这些黑客大赛的价值越来越体现出社会普适性,在GeekPwn举办的前两年,曾有选手利用黑客技术控制了特斯拉汽车、无人机等设备,令现场哗然。但这些是小众领域,而公共WiFi、移动支付、O2O、智能家居等是应用范围更广的领域,参赛选手努力找出这些领域中存在的漏洞,并利用黑客技术设法控制它。去年10月份举办的第二届GeekPwn大赛,有选手凭借攻破https加密拿走了一笔42万元奖金。

让大赛主办方感到可惜的是,去年由于签证问题,很多国际上非常牛的白帽黑客(比如一位韩国军方培养的年轻黑客)报名后没能来到上海参赛。今年的比赛增加了一场5月澳门赛。今年会围绕智能手机、智能交通、智能穿戴、智能家居等领域进行黑客攻破。

王琦对本报记者说,本来一开始是想办一个极端高大上的黑客比赛,推崇技术难度,但国内的安全现状触目惊心,有些厂商的安全漏洞很低级,太容易被利用了,国内的信息安全环境有待提升。

本站部分文章来源于网络以及网友投稿,本站只负责对文章进行整理、排版、编辑,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如果您有什么意见或建议,请联系QQ28-1688-302!

人工智能实验室
相关文章相关文章
  • 一加6发布在即 将首批适配Android P Beta版

    一加6发布在即 将首批适配Android P Beta版

  • 推崇适老+养老,智能家居提高适老性 提前接轨“老龄化”

    推崇适老+养老,智能家居提高适老性 提前接轨“老龄化”

  • React VR正式更名为React 360 ,进一步推进VR视频发展

    React VR正式更名为React 360 ,进一步推进VR视频发展

  • 中国移动A4sA5手机重磅发布 开启全面屏百元机新时代

    中国移动A4sA5手机重磅发布 开启全面屏百元机新时代

网友点评网友点评
阅读推荐阅读推荐

据外媒报道,STEER打造了首款完全自动驾驶停车技术,旨在使常规车辆转变为无人驾驶车辆。STEER的首款技术应用是4级自动驾驶及网络安全停车...

近日,美国软性机器抓手制造商 Soft Robotics 宣布,获得 2000 万美元的融资,本轮投资者包括 Scale Venture Partners,Calibrate Ventures...

据外媒报道,加州车管局发布了《2017自动驾驶脱离报告(California Autonomous Vehicle Disengagement Reports)》,其中谈及了脱离的具体...

用人机语音交互,来解决智能家居适老的问题;通过家庭门禁与安防套件、空气净化套件、可燃气体与有害气体监控套件等相互联动,在不同生活情...