由安全團隊KEEN主辦的世界黑客大賽GeekPwn5澳門站5月12日落幕,在這次大賽中,TP-link、小米、榮耀、思科等主流路由器,大疆無人機及一些知名保險箱均被輕松攻破。南都記者在現(xiàn)場發(fā)現(xiàn),大部分破解時間僅需5分鐘左右。
“站在我們的角度,我們從來都說世界上沒有絕對安全的產(chǎn)品。”KEEN創(chuàng)始人、GeekPwn大賽的發(fā)起創(chuàng)辦人王琦解釋本次活動的意義時表示,“消費者能做的其實并不多,我們其實是想督促廠商去修復他們的問題,因為修復他們的漏洞才是解決問題的關鍵。所以對消費者來講,就像剛才我們展示的那些漏洞和攻擊的情況,其實用戶做再多的安全工作都沒有用,一樣可以進去。”
“所有的智能家居現(xiàn)在基本上不堪一擊。”王琦告訴南都記者,目前的智能家居廠商主要考慮實用性,安全性其實做得還不夠。比如今年的活動中,僅上午被攻破的八個產(chǎn)品有四個是路由器。“我們沒要求選擇什么產(chǎn)品攻破,選擇路由器,或許是因為其是目前家居場景的總入口,某種程度上,其安全性能也是最好的。”王琦如是表示。
此次被攻破的路由器廠商包括T P-link、小米、榮耀、思科等。以T P-link舉例,攻擊者只需要將其電腦與路由器連在同一個W IFI中,就可以用程序?qū)ζ涔簦@取其最高權限修改其D N S。而修改了D N S后,用戶登錄任何網(wǎng)站都可以被跳轉到攻擊者的釣魚網(wǎng)站,在上面輸入賬號密碼就有可能被竊取。
無獨有偶,其他三個路由器攻擊模式都同樣在W IFI環(huán)境里進行。“盡量連一些我們熟知的W IFI,另外如果要做重要的工作,盡量不要用WIFI,采用3G、4G。”王琦如是表示。
這次黑客大賽被攻破的第一類產(chǎn)品就是所謂“云驗證”保險箱。所謂“云驗證”,就是手機在W IFI環(huán)境下連接保險箱,并進行綁定,每次驗證key都和云端交互,每次都有隨機數(shù)進行校驗,并且有120秒失效的防護機制,這樣避免用戶“記密碼”跟“帶鑰匙”的不便。
但實際上,只有連上網(wǎng)絡就有被攻破的危險,攻擊者選擇“明得A PP云智能指紋識別手機W IFI保險箱”進行攻擊,在同一個W IFI環(huán)境下,只要用戶打開一次保險箱就可以獲取其密碼,甚至清除其指紋識別。
另一個用藍牙連接的產(chǎn)品,SA FEO K防黑客保險箱則更加有趣。攻擊者攻破后,可以修改其報警倒計時程序。“被攻破后,你的保險箱可能會半夜突然報警蜂鳴,并且打開,相當于把你的保險箱改成鬧鐘。”參賽者戲謔道。
主持人老鷹點評說,現(xiàn)在什么都說智能化,什么都連手機,但智能化就存在安全漏洞,“甚至不需要硬件,只用軟件就可以輕松攻破,”老鷹說,其實現(xiàn)在許多廠商的安全方案都是使用通用方案,失去原來的安全價值,“還不如用鑰匙更保險。”