今年的315晚会,不经意间成为了晚会版的“黑客帝国”。
似乎所有的技术宅在这个晚上都开始了狂欢,对各路软硬件和Wi-Fi开始狂轰滥炸。其实,每一个智能产品背后的漏洞,都有这些白帽子黑客的不懈努力。
说到晚会的高潮,莫过于现场的“黑客秀”:
黑客们架起的钓鱼Wi-Fi,利用路由器漏洞,对接入安全正规Wi-Fi的现场观众手机进行流量监听,轻松获得其APP订单相关隐私信息:个人身份、喜欢吃什么、每天的出行路线、上门服务订单等等,在舞台大屏幕同步呈现其完整生活轨迹,十分震撼。
事实上,央视上展示的路由器漏洞是2015年GeekPwn黑客大赛选手之一上海交大0ops战队的研究成果,而主办方KEEN公司则为315晚会这个互动环节的提供技术支持。而在晚会上几度出境的萌叔王琦,正是GeekPwn黑客大赛创办人,KEEN 公司 CEO。
【GeekPwn黑客大赛创办人,KEEN 公司 CEO 王琦】
315所曝光的智能产品漏洞,正是 GeekPwn 的黑客们主要研究的方向。
据GeekPwn智能安全专家介绍,
目前市面上多数路由器都曾被发现过安全漏洞,可以被远程入侵控制,接入这些路由器的手机,只要APP在传输个人隐私信息时没有进行加密,都有可能导致个人隐私泄露。GeekPwn安全专家检查了部分常见手机 APP ,发现不加密通信状况在各种手机 APP 中非常普遍。通过路由器的漏洞,这种不加密的隐患在现实中被放大了,不仅照片、姓名,电话等常用信息会被泄露,甚至包括家庭住址、身份证号码、银行卡号、个人生理周期等各种个人私密信息。
通过对这些信息的组合,基本上可以比较准确地勾勒出目标对象的基本生活习惯,从而为攻击者进行下一步的攻击打开方便之门。比如315晚会上主持人就假设,如果O2O到家服务泄露了上门时间、家庭住址,如果坏人冒充来上门怎么办?
【315晚会上,诸多智能产品被黑的“黑客大片”】
网络安全与智能生活安全成为央视315晚会重点曝光对象,不仅有利用路由器漏洞获取观众隐私信息的情景互动,更有智能生活安全“黑客大片”上演。
正在执行任务的无人机突然被劫持、家中的智能插座失控导致灯光不停闪烁、智能烤箱突破温度限制自行开始升温、智能摄像头监视下的上海深圳两地家庭的生活画面一览无遗、银行卡中的钱不知不觉被智能POS机转走……央视315晚会上的“黑科技大片”让全国观众眼界大开。
而这部短片正是央视联合知名黑客赛事平台GeekPwn共同制作的,其中展现的基本全部来自于历届GeekPwn黑客大赛上选手真实的漏洞比赛项目。
借助各种各样的智能设备,我们的日常行为都被进行了数字化,几乎所有的智能设备都存储或传输着我们的个人信息,或者执行我们所发出的指令。而现阶段的智能设备领域尚处在初级阶段,很多以“智能”为卖点的设备并非真正的“智能“,更非现在热点的人工智能,而仅仅是增加了网络控制功能。
【现场展示的钓鱼Wi-Fi】
GeekPwn(极棒)黑客大赛创办人王琦表示,
消费者可以使用手机远程控制一台电风扇,但电风扇还远远未发展到具备分析消费者使用习惯进行智能送风的阶段。如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发,增加的网络控制功能就可能成为反被恶意攻击者利用的通道,轻则泄露信息,重则危害公共或人身安全。
“产品硬件有问题,很容易理解是产品质量问题,而智能设备如果存在安全漏洞,导致消费者可能被恶意入侵,是不是也应该属于质量问题呢?”王琦抛出了这个观点,他认为,如果通过这次315能够帮助智能行业安全能力水平赶上整个产业的发展速度,普通消费者的权益才会得到更好的保护,厂商也才能获得更长远的发展。
值得欣慰的是,经过两年的发展,GeekPwn黑客大赛中被攻破的智能产品厂商已经逐渐意识到产品安全等同于产品质量的重要性,并认可了极棒的安全观:“世界上不存在完全没有安全漏洞的智能产品,但是安全漏洞被发现和消灭的越早,智能产品越安全。”央视315短片中的绝大多数厂商也都已经及时修补了漏洞。“安全性是攻防对抗之间的一个平衡,勇于接受白帽黑客的挑战,并及时修复自己产品漏洞的厂商,是值得信赖和尊敬的。”王琦说。
智能产品正在经历井喷,几乎每个人都在和它们打交道,那么到底智能产品可不可以信赖呢?
GeekPwn安全专家认为,
作为普通消费者的我们大可不必惊慌,事实上这些场景都是维护正义的白帽黑客为了警示智能产品厂商做的公开演示,在现实中这些危害本身尚未完全显现。
但不可否认的是,智能产品已经成为我们生活的一部分,而智能行业的安全意识和安全能力都比较低下,对此我们再也不能继续忽视下去了,智能小漏洞可能造成生活大危害。