10月24日,被喻为“黑客奥运会”的由知名安全团队KEEN主办的GeekPwn 2015嘉年华在上海开幕,在这场国际性智能软硬件挑战赛上,无人机、360奇酷手机、小米手机、华为手机、智能摄像头、拉卡拉收款宝POS机、畅销智能路由器等超过40款主流软硬件产品成为安全极客们的攻破对象,并被成功Pwned(意被攻破)。
小小的胸卡黑客范儿
不愧是黑客大赛,就连一个小小的胸卡也充满了黑客范儿,现场观众的胸卡即为一个智能硬件——电子微屏幕。现场观众通过胸卡答题挑战,获胜者的ID可以闪亮在所有人胸卡上。每一位成功演示攻破项目的选手的名字会出现其中。
胸卡正面
胸卡背面
厕所不是想上就能上的
在GeekPwn嘉年华现场,男士进入洗手间也是一项挑战,因为任何人进入洗手间都需要先破解密码题目。
作为女生的小编相当的庆幸啊,不然去个厕所也成问题喽。
利用戒指玩游戏
在GeekPwn嘉年华的活动现场,除了欣赏精彩的破解秀、学习高超的黑客技术,还可以利用戒指中的游戏点数参与丰富有趣的周边游戏互动:极棒漫画机、极棒足球赛、极棒驾驶员……
步入正题,说说那些黑客技术。
银行卡是你的,钱就是你的么?
你的卡是你的卡,可是你卡里的钱不一定是你的!可怕呢!在大赛现场,安全极客通过远程攻击POS机,实现了你的卡我的钱。无需物理接触POS机,无需以太网、Wifi等网络连接,仅仅凭借一台PC,即可远程攻击POS机。攻击成功后,当用户刷卡消费时,选手通过绑定安卓手机并在手机上安装Xposed模块去劫持交易信息,然后复制用户的银行卡,并破解出明文密码。利用分析出的磁道信息恢复出一张新的银行卡,然后用新的银行卡与分析出的明文密码进行消费,输入任意密码就可以转走前面银行卡上的余额。
360奇酷手机,你真的安全么?
来自Keen Team的高级研究员Flanker成功将以“安全”作为宣传卖点的360奇酷手机Root 。同时更为令人讶异的是,该少年破解的奇酷手机搭载的居然还是360在GeekPwn前夜推出的最新版本048系统。
在GeekPwn中,Flanker对奇酷手机稳定版最新系统进行了两种攻破演示。一是,远程攻破演示。实现了在奇酷手机上点击一个链接后,手机即被远程控制安装应用。二是,Root攻破360奇酷手机。演示了进一步提权到Root,成功将奇酷手机开机画面更改为GeekPwn Logo。
评委老鹰正在测试 360奇酷手机的指纹识别功能
此外,张煜龙、陈兆丰、丁羽三位选手挑战奇酷手机的指纹验证项目。选手通过在最新版手机上执行adb shell中的exploit,使得所有的android指纹验证全部失效(无论什么指纹都通过),包括锁屏、转账等等。
看完这个,你还敢用智能摄像头么?
来自长亭科技的参赛选手一次性攻破了多款智能摄像头,引发现场一片哗然。选手接入摄像头所在的网络,远程向摄像头发起攻击,远程获得摄像头ROOT权限,并进一步窃取视频、控制摄像头运动、播放篡改音频。这原本用于安全防护的实时监控工具,假如被恶意黑客远程控制,就会变成偷窥隐私的犯罪工具,那将是多么可怕的事啊!
十款畅销路由器沦陷 这意味着什么啊?
智能路由器大擂台
三组参赛选手分别选择了某电商网站十款销量最高的路由器,利用智能路由器的未知漏洞,完成获取ROOT权限,并向观众展示了被劫持的GeekPwn网站。其中,位于一号台的赵泽光一个人搞掉了包括360、小米在内的四台智能路由器。如此多的智能路由器被攻陷,着实让人担忧,希望智能路由器厂商能够加强产品的安全防护功能。
