上周五,堪称全球最大规模的智能设备破解挑战赛在北京举行。在这次中国顶级黑客的“华山论剑”中,特斯拉无人驾驶被Keen Team全球首次攻破。此外,一次性攻破70款主流智能手机、攻破网络银行等展示也让现场的小伙伴们惊呆了。各大安全路由器、智能家居、电视盒子、手环等主流智能硬件产品也都没逃脱被攻破的命运。通过攻破并发现智能设备的漏洞,推动厂商提高产品的安全性,进而为消费者使用安全提供保障,已经成为安全极客面对智能时代的新选择。
北京晨报记者在现场看到,70台全新未使用的安卓手机,通过一个Keen Team设计的APP,便可以轻松夺取手机控制权。即使在关机状态下,现实版的“窃听风云”也可以上演,手机不仅可以被监听,还可以通过监控手机摄像头,获取用户的真实形象。而这些黑客行为,仅仅是利用了Keen Team研究近半年移动系统安全漏洞中的几个芯片级高危漏洞。随后,清华大学段海新教授现场展示了一项更加“可怕”的技术,利用未公开的漏洞劫持HTTPS加密银行交易,电子银行将化身黑客的提款机。“这是一项影响巨大的网络基础协议设计中存在的漏洞,无需木马、钓鱼,就可以让你打给别人账户的钱悄无声息地转到我的账户里。”段教授解释说。
现场最火爆的要数攻破特斯拉。利用Keen Team与V2S研究团队发现的安全漏洞,这款被无数人追捧、被称为“最安全的智能汽车”,可以让一名业余观众用微信便可实现对停在场外的特斯拉的“无人驾驶”。即使在行驶状态下,也可以远程控制从前行突然变为倒车,甚至熄火。
谈起此次极客嘉年华设计的初衷,Keen Team负责人王琦表示,谁都知道智能手机有安全隐患,但谁都不能直观地去表达。Keen公司举办GeekPwn的初衷并不是为了炫技,而是通过攻破并发现智能设备的漏洞,推动厂商提高产品的安全性,进而为消费者使用安全提供保障。“对于攻破的产品来说,也是非常好的促进,因为我们相信,产品被发现和消灭的安全问题越多,产品越安全。这是GeekPwn首倡的新安全观。”据悉,GeekPwn愿意将发现的漏洞按照业界规则及时提交给厂商,并协助其修复漏洞和安全隐患。在厂商修复漏洞之前,所有细节不会对外公开,避免被人利用。