黑客大賽:“智能+”生活沒有絕對安全

責任編輯:editor004

作者:蔡輝

2016-05-13 11:38:02

摘自:南方都市報

由安全團隊KEEN主辦的世界黑客大賽GeekPwn5澳門站5月12日落幕,在這次大賽中,TP-link、小米、榮耀、思科等主流路由器,大疆無人機及一些知名保險箱均被輕松攻破。這次黑客大賽被攻破的第一類產(chǎn)品就是所謂“云驗證”保險箱。

由安全團隊KEEN主辦的世界黑客大賽GeekPwn5澳門站5月12日落幕,在這次大賽中,TP-link、小米、榮耀、思科等主流路由器,大疆無人機及一些知名保險箱均被輕松攻破。南都記者在現(xiàn)場發(fā)現(xiàn),大部分破解時間僅需5分鐘左右。

“站在我們的角度,我們從來都說世界上沒有絕對安全的產(chǎn)品。”KEEN創(chuàng)始人、GeekPwn大賽的發(fā)起創(chuàng)辦人王琦解釋本次活動的意義時表示,“消費者能做的其實并不多,我們其實是想督促廠商去修復他們的問題,因為修復他們的漏洞才是解決問題的關鍵。所以對消費者來講,就像剛才我們展示的那些漏洞和攻擊的情況,其實用戶做再多的安全工作都沒有用,一樣可以進去。”

“所有的智能家居現(xiàn)在基本上不堪一擊。”王琦告訴南都記者,目前的智能家居廠商主要考慮實用性,安全性其實做得還不夠。比如今年的活動中,僅上午被攻破的八個產(chǎn)品有四個是路由器。“我們沒要求選擇什么產(chǎn)品攻破,選擇路由器,或許是因為其是目前家居場景的總入口,某種程度上,其安全性能也是最好的。”王琦如是表示。

此次被攻破的路由器廠商包括T P-link、小米、榮耀、思科等。以T P-link舉例,攻擊者只需要將其電腦與路由器連在同一個W IFI中,就可以用程序?qū)ζ涔簦@取其最高權限修改其D N S。而修改了D N S后,用戶登錄任何網(wǎng)站都可以被跳轉到攻擊者的釣魚網(wǎng)站,在上面輸入賬號密碼就有可能被竊取。

無獨有偶,其他三個路由器攻擊模式都同樣在W IFI環(huán)境里進行。“盡量連一些我們熟知的W IFI,另外如果要做重要的工作,盡量不要用WIFI,采用3G、4G。”王琦如是表示。

這次黑客大賽被攻破的第一類產(chǎn)品就是所謂“云驗證”保險箱。所謂“云驗證”,就是手機在W IFI環(huán)境下連接保險箱,并進行綁定,每次驗證key都和云端交互,每次都有隨機數(shù)進行校驗,并且有120秒失效的防護機制,這樣避免用戶“記密碼”跟“帶鑰匙”的不便。

但實際上,只有連上網(wǎng)絡就有被攻破的危險,攻擊者選擇“明得A PP云智能指紋識別手機W IFI保險箱”進行攻擊,在同一個W IFI環(huán)境下,只要用戶打開一次保險箱就可以獲取其密碼,甚至清除其指紋識別。

另一個用藍牙連接的產(chǎn)品,SA FEO K防黑客保險箱則更加有趣。攻擊者攻破后,可以修改其報警倒計時程序。“被攻破后,你的保險箱可能會半夜突然報警蜂鳴,并且打開,相當于把你的保險箱改成鬧鐘。”參賽者戲謔道。

主持人老鷹點評說,現(xiàn)在什么都說智能化,什么都連手機,但智能化就存在安全漏洞,“甚至不需要硬件,只用軟件就可以輕松攻破,”老鷹說,其實現(xiàn)在許多廠商的安全方案都是使用通用方案,失去原來的安全價值,“還不如用鑰匙更保險。”

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號