HackPwn2015:极客狂欢了 该我们担忧了!
除了安全领域的专业人士,比较少人注意到近日在北京举行的HackPwn2015安全极客狂欢节。这是一项集聚了众多白帽黑客,比拼破解智能设备的黑客大赛。在大赛上,不少刚进入我们日常生活的智能产品被参赛选手们三下五除二就给破解了。那么问题来了,极客们狂欢了,作为普通民众的我们难道不该为此而担忧吗?
据悉,本项赛事的目的是倡导安全无忧的智能生活,帮助厂商发现并解决存在的漏洞,同时也希望加强民众对智能设备的安全防范意识。然而真实的情况是,参赛选手们凭借高超的技艺收获了狂欢与赞誉,部分智能设备厂商也因安全问题受到了网友的诘责,但从关注赛事的网友的反馈来看,大家并没有因此提高太多警惕,甚至还有人表现出只是期待与追逐破解带来的"利好"而已。
图1:据悉因担心自己的汽车被破解,某汽车厂商紧急关闭了服务器
先看看这些极客们在大赛上的表现:
全球首个ajax蠕虫作者,黑客大神Samy Kamkar演讲展示通过自制无线电设备破坏汽车和车库门厂商使用的无线遥控解锁码,截取密码进而随意打开汽车和车库的门锁。
中国年轻黑客L.N.现场演示破解智能洗衣机,据悉可以远程让被破解的洗衣机进行洗衣、甩干等动作。如果有一天下班回家发现你们家的智能洗衣机"一直停不下来",可能不是"闹鬼"了,而是某个黑客跟你玩了个危险的恶作剧。
此外还有参赛选手在现场演示破解小米手环,还未拆封包装的小米手环被破解后,居然开始在盒子里震动。捕捉、读取附近已经激活的手环的用户信息就更不在话下了。
最让人不寒而栗的是,浙大的一位高材生演示了破解乐小宝,通过破解的乐小宝远程读取儿童信息,播放鬼故事,甚至还可以模仿家长诱使小孩给陌生人开门。
然而最能让网友"心动"的是,某020上门服务App,破解后可以无限创建订单,并且不需要支付费用!
引发关注最多的,要数曾经全球首发iOS7.1.1、iOS8等系统越狱工具的盘古团队,现场演示攻破苹果最新的iOS8.4.1系统,并因此获得大赛的卓越奖项。令人钦佩的是,向来低调的盘古团队还现场宣布:将20万奖金捐赠给8.12天津爆炸事故中的遇难人员家属!
在本次大赛上演示的黑客破解行为不止以上这些,据说还有烤箱、豆浆机什么的也"惨遭不幸",这听上去令人觉得好笑、神奇,却也正反映了国内民众对智能设备的安全防范意识不足。
站在台上的这些是正义的白帽黑客,躲在暗处的也有不少是"艺高人胆大"的"江湖宵小"。更何况有时候,白帽黑帽我们也傻傻分不清楚。以受关注最多的iOS系统破解为例,日前国内另一家越狱团队太极闹出的越狱工具后门事件,到底有意无意,人们莫衷一是,但后门的存在以及造成的风险却是真真切切的。
今年7月初,太极团队发布了iOS8.4越狱工具,哪知几个小时之后,知名的互联网漏洞报告平台乌云便曝出了太极越狱工具留有后门漏洞的消息,一时间越狱用户感到无比震惊和担忧。因为根据乌云的报告,太极后门的存在有导致木马等严重威胁用户安全的恶意软件感染设备的危险,轻则用户的 ID会被盗用来刷榜,重则私密照片等隐私信息流传网络,甚至会导致绑定了手机的银行卡、信用卡被盗刷。
面临来自用户和媒体强大的舆论压力,太极最终修复了iOS8.4后门漏洞,但对于乌云又跟进曝出的太极iOS8.0-8.1.2越狱工具后门始终无动于衷,截至目前其官网依然提供留有后门的工具的下载,这就让人非常不解了。再加上App刷榜行为在国内早就形成一项拥有巨额利润的"产业",用户 ID丢失、iPhone出现不是自己下载的App的现象频频出现,用户因后门事件对太极产生不好的联想和信任的缺失,也实在无可厚非。但愿这一次事件能让iOS越狱爱好者以后多长个心眼。
HackPwn2015安全极客狂欢节让网友们见识到了白帽黑客们的"十八般武艺",然而在拍手、点赞、追逐破解带来的自由精神的"利好"之余,我们是否真正意识到,移动互联网时代,智能家居、智能终端在安全防护方面是有多么不堪一击?
极客狂欢了,该我们担忧了!