小米手環(huán)牛不牛?黑客看數(shù)據(jù)如同探囊取物!GPS定位牛不牛?黑客讓它“乾坤大挪移”……。如今智能硬件已經(jīng)進(jìn)入千家萬(wàn)戶(hù),卻被屢屢爆出安全漏洞問(wèn)題。
8月21日,中國(guó)首屆HackPWN安全極客狂歡節(jié),來(lái)自全球各地的白帽子上演各種智能硬件、智能生活服務(wù)網(wǎng)站平臺(tái)漏洞挖掘和破解技術(shù)。
極客和大咖云集,演練萬(wàn)物互聯(lián)“安全漏洞”
首屆HackPWN安全極客狂歡節(jié)由國(guó)內(nèi)安全團(tuán)隊(duì)360VulcanTeam、 360UnicornTeam發(fā)起,專(zhuān)注的智能設(shè)備和智能平臺(tái)安全。包括世界首個(gè)Ajax蠕蟲(chóng)作者Samy Kamkar、badUSB逆向者Adma Caudill、知名越獄團(tuán)隊(duì)盤(pán)古的核心成員徐昊、中國(guó)最帥黑客楊卿在內(nèi)的數(shù)十位國(guó)內(nèi)外知名白帽黑客出任評(píng)委,并參與現(xiàn)場(chǎng)演示。
在狂歡節(jié)上,智能硬件在黑客手中簡(jiǎn)直成了“傻瓜”硬件。一款號(hào)稱(chēng)可以遠(yuǎn)程操控的洗衣機(jī),一度被稱(chēng)為“物聯(lián)網(wǎng)”的代表,黑客設(shè)置了簡(jiǎn)單幾個(gè)按鈕,洗衣機(jī)確實(shí)自動(dòng)開(kāi)始洗衣,但是洗滌時(shí)間、甩干時(shí)間都跟設(shè)定的設(shè)定完全不一樣。
“如果黑客使壞,這臺(tái)洗衣機(jī)洗到報(bào)廢為止。”白帽子黑客介紹,這款洗衣機(jī)的漏洞并不復(fù)雜,可以輕易侵入,造成洗衣機(jī)損壞,甚至引發(fā)火災(zāi)。
一名黑客向在場(chǎng)記者演示小米手環(huán)破解,黑客透過(guò)手環(huán)的藍(lán)牙漏洞完全掌控小米手環(huán)的控制權(quán)。在黑客指揮下,記者手中的小米手環(huán)不停震動(dòng),而黑客的手機(jī),顯示了該手環(huán)的步數(shù)紀(jì)錄。
“高大上”的汽車(chē)更成為黑客“群毆”對(duì)象,Samy Kamkar、車(chē)聯(lián)網(wǎng)安全公司VisualThreat創(chuàng)始人嚴(yán)威、思科物聯(lián)網(wǎng)安全總監(jiān)Asaf Atzmon和360Unicorn Team先后演示多種汽車(chē)和車(chē)聯(lián)網(wǎng)破解技術(shù),操縱包括特斯拉、比亞迪、奔馳、雪佛蘭等在內(nèi)的多款汽車(chē)。
來(lái)自浙江大學(xué)、北京郵電大學(xué)、神話等多支國(guó)內(nèi)頂尖安全研究團(tuán)隊(duì)現(xiàn)場(chǎng)還演示了烤箱、智能電視、智能家居系統(tǒng)等流行智能設(shè)備的破解。
“這些可聯(lián)網(wǎng)的智能設(shè)備可以讓人們的生活更加便捷,但安全漏洞可能給用戶(hù)帶來(lái)很大的危害。”現(xiàn)場(chǎng)破解豆?jié){機(jī)的女白帽黑客黃源稱(chēng),黑客可以利用這些漏洞用手機(jī)、電腦隨意控制同一型號(hào)的所有聯(lián)網(wǎng)智能設(shè)備,但更可怕的是,很多生產(chǎn)廠商在產(chǎn)品設(shè)計(jì)時(shí)基本沒(méi)有考慮安全設(shè)計(jì)。
除了智能設(shè)備,知名越獄團(tuán)隊(duì)盤(pán)古、360Nirvan Team等還現(xiàn)場(chǎng)演示了最新iOS系統(tǒng)、多款流行 O2O應(yīng)用的漏洞利用。
萬(wàn)物互聯(lián) 物聯(lián)網(wǎng)漏洞頻現(xiàn)
并不是中國(guó)的智能硬件存在這樣的漏洞,惠普旗下應(yīng)用安全部門(mén)Fortify曾經(jīng)對(duì)時(shí)下流行的電視、網(wǎng)絡(luò)攝像頭、自動(dòng)調(diào)溫器、噴水滅火器、門(mén)鎖、家用報(bào)警器、體重秤等10款物聯(lián)網(wǎng)設(shè)備進(jìn)行安全審查時(shí)發(fā)現(xiàn),這些設(shè)備竟然存在250個(gè)不同程度的安全漏洞,平均每款25個(gè)。
在8月初的世界黑帽大會(huì)BlackHat和世界黑客大會(huì)DEFCON上,包括汽車(chē)在內(nèi)的智能設(shè)備被批量曝出安全漏洞,黑客利用安全漏洞可以控制行駛中的汽車(chē),控制交通紅綠燈,劫持無(wú)人飛機(jī),甚至可以控制狙擊步槍的子彈發(fā)射。
來(lái)自Gartner和麥肯錫等調(diào)研機(jī)構(gòu)的預(yù)測(cè)顯示,2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備將達(dá)49億臺(tái),而到2020年將超過(guò) 260 億臺(tái),萬(wàn)物互聯(lián)每年將為全球經(jīng)濟(jì)帶來(lái)高達(dá)3.9萬(wàn)億~11.1萬(wàn)億美元的影響力。
數(shù)十億有著安全漏洞的設(shè)備一旦接入互聯(lián)網(wǎng),將可能帶來(lái)難以估量的災(zāi)難性后果。
應(yīng)對(duì):“硬安全”需要“捆綁合作”
“幾乎沒(méi)有任何物聯(lián)網(wǎng)設(shè)備制造商具備真正意義上的安全團(tuán)隊(duì),多數(shù)制造商對(duì)物聯(lián)網(wǎng)市場(chǎng)趨之若鶩,僅僅源于物聯(lián)網(wǎng)是一個(gè)淘金市場(chǎng)。”美國(guó)著名的黑客大會(huì)Black Hat創(chuàng)始人Jeff Moss在接受媒體采訪時(shí)曾介紹,智能設(shè)備和系統(tǒng)存在如此多的安全漏洞,根源是相關(guān)企業(yè)對(duì)安全的低投入和公眾安全意識(shí)的淡漠。
組委會(huì)專(zhuān)家稱(chēng),目前國(guó)內(nèi)大多數(shù)的智能設(shè)備廠商都沒(méi)有專(zhuān)門(mén)的安全響應(yīng)機(jī)制,安全研究人員發(fā)現(xiàn)了一些智能家電的漏洞,竟然無(wú)法將漏洞報(bào)告直接提交給廠商,還得先通過(guò)客服層層轉(zhuǎn)告。因此,即使白帽子黑客發(fā)現(xiàn)漏洞,廠商修起來(lái)也“慢三拍”,繁雜的過(guò)程還沒(méi)有執(zhí)行完,風(fēng)險(xiǎn)有可能已經(jīng)產(chǎn)生。
“硬件廠商、家電廠商、汽車(chē)廠商和安全廠商都要加入進(jìn)來(lái),探討萬(wàn)物互聯(lián)的安全防護(hù)技術(shù)和產(chǎn)業(yè)合作。”在HackPWN極客狂歡節(jié)上,360總裁齊向東在上的演講中表示,隨著智能設(shè)備的普及,黑客工具的普及和黑客技術(shù)水平的提高,萬(wàn)物互聯(lián)的安全問(wèn)題會(huì)日益嚴(yán)重。僅靠安全公司和安全行業(yè)很難徹底解決安全問(wèn)題,需要安全廠商與智能硬件、互聯(lián)網(wǎng)服務(wù)平臺(tái)等產(chǎn)業(yè)鏈相關(guān)廠商緊密合作,共同解決。