Geekpwn是我参加过的最具有观赏性的安全活动,最好看且最受争议的部分就是现场破解环节。极路由,小米,锤子,乃至特斯拉都被拿来当成道具让黑客选手上台展示现场破解。 虽然整个过程中由于受到不明攻击干扰了现场的通信等问题造成效果不够流畅,但是这个活动依然是非常给力的,老罗也代表锤子手机对发现安全漏洞的黑客表达了感谢。
比赛现场我也见到了360的一些大牛如袁哥,mj, 还有已然成为女黑客的黄源。本来应该是较为融洽的气氛,谁知道360儿童手环被破解且被转发到微博后,数字公司的公关就忍不住了,纷纷跳出来指责这是对360赤裸裸的攻击,虎吼阵阵,板砖连连,甚至老大亲自出马说你丫出证据啊,真能破手环给你10万!
随后微博就开始了一连串公关大战, 以破解者,教主,各路安全大牛对战360公关。开始的争论焦点在于是否被攻破,后面的争论则进入了街头大妈吵架模式。 你跟我讲道理,我就跟你耍流氓,你跟我耍流氓我就跟你讲道德,你跟我讲道德我就跟你讲人性。 最有趣的是在确认了儿童手环存在漏洞后,公关竟然可以打出“请黑客们放过孩子吧”。 这样的口号。 教主也怒了:你这就好比三鹿牛奶很委屈,请发现三聚氰胺的放过孩子吧。
话说360公关在历史上是有诸多战绩的,尽管谈不上显赫。 记得去年4月的时候,360就误报过一个nginx漏洞,这一下差点没把整个业界弄得腥风血雨,nginx市场份额多大啊,这得有多少服务器要沦陷啊,谁知道后来发现是乌龙,好大的一条乌龙,而360公关只是轻描淡写地做了个简单的道歉,说是“临时工”所做,一场误会,不要紧张……
360曾经拦截IE8升级补丁,为的也是推自己的浏览器。360拥有众多优秀的产品经理和工程师,然而本身应该靠产品和技术驱动的安全产品和服务却被屡屡娱乐精神驱动,这公关部的地位得多强势啊。
这次轮到360被曝漏洞的时候,大牛们还没研究怎么回事呢,公关就先动手了,但是很不幸这次漏洞是真实存在的,我来给大家简单介绍一下:
Geekpwn上比赛选手提交的漏洞据说有4个,目前已确认并公开的漏洞有两个。
第一个是关于SSL的, 由于使用了ssl加密, https协议要求比较苛刻,比如设备和服务器时间不同步的话就不行,开发人员为了方便而忽略了证书校验错误, 导致什么证书都可以通过,于是https协议可以被劫持。 被劫持后能干什么呢? 可以伪造信号,监听通讯,可以切断设备和服务器的连接。 美剧里面一些保释犯装上脚环接受监控的过程中,如果可以劫持通信, 就可以伪造出犯人还在被软禁中,但其实人已经出去了。
第二个是关于logout 接口未加入校验参数,导致黑客可以通过CSRF或者中间人攻击,模拟儿童卫士请求让app下线。
另外的漏洞貌似是因为破解现场连接360云端的时候,突然云端不让连了,于是无法破解…… 据说还有固件上的漏洞,这个无法远程修复,这样就完全不能通过服务端的操作掩盖了……
经过漫长的微博公关战,360公关还是同意儿童手环被攻破了,不过给漏洞的评级是低危, 于是截止发稿的时候双方还在争论漏洞到底危害多大,儿童卫士的危害在于父母知道孩子在哪的话劫持者也能知道孩子在哪,而且可以伪造孩子在某个地方的信息实际上把孩子拐走, 至于说孩子的价值嘛, 一般用儿童卫士的孩子都应该是父母教育程度较高的吧,可能也会多金? 不少人认为是高危,而360则坚持认为是低危。其实高还是低这个本来就是主观问题, 比如说在某些国度你带一把菜刀就算高危,在某些国家你随身带枪也不算高危险。
不管如何,360总算最后还是承认漏洞存在了,那么,问题来了:说好的10万奖金呢?