中华网科技讯 堪称全球最大规模的智能设备破解挑战赛在北京举行。在这次中国顶级黑客的“华山论剑”中,特斯拉无人驾驶被Keen Team全球首次实现,此外,一次性攻破七十款主流智能手机,借助未公开网络基础协议设计漏洞攻破网络银行等展示均为活动最大亮点,各大安全路由器、智能家居、电视盒子、手环等主流智能硬件产品悉数被攻破。
10月24日,为期两天的由三次获得顶级安全赛事Pwn2Own冠军的世界知名安全研究团队Keen Team主办,XCon安全焦点峰会协办的全球首个关注智能生活的安全赛事--GeekPwn(极棒)安全极客嘉年华在京举办。
知名智能硬件设备悉数落马
在为期两天的嘉年华中,最亮眼的部分当属主办方KeenTeam带领GeekPwn组委为破解挑战赛热身时设计的“Pwn for Fun”环节。
谁都知道智能手机有安全隐患,但谁都不能直观的去表达。然而Keen Team采用互动游戏的方式,让7位业余观众一次性“黑掉”70款主流安卓手机。Keen Team负责人王琦介绍游戏规则,谁能最快将手机攻破夺取手机控制权,将获得70款手机中的任一一款。而完成它只需要使用一个Keen Team设计的APP,这仅仅是利用了Keen Team研究近半年来移动系统安全漏洞中的几个芯片级高危漏洞。
游戏结束后,王琦留下获奖者,让其将奖品手机关机,并对手机说一句话。随即会场内的麦克风响起获奖者说的声音。王琦解读,他的手机在他关机且不知情的情况下被攻破,正是利用了“斯诺登”式方法,化身成为黑客的监听器,上演现实版的“窃听风云”。
随后清华大学段海新教授现场展示了一项高深技术,利用未公开的漏洞劫持HTTPS加密银行交易,电子银行将化身黑客的提款机。“这是一项影响巨大的网络基础协议设计中存在的漏洞,无需木马、无需钓鱼,就可以让你打给别人账户的钱悄无声息转到我的账户里。”段教授解释道。
接下来,王琦表示,又到了邀请观众当黑客的环节,这次并非是破解手机,而是会场外那被架起来的“最安全智能汽车”--特斯拉。利用Keen Team与V2S研究团队发现的安全漏洞,现场随机的观众在自己的手机上用微信就实现了特斯拉的“无人驾驶”,并且现场演示了特斯拉在行驶状态下被悄无声息远程控制从前行突然变为倒车,甚至熄火失控的全过程,即使是顶尖极客评委,也露出惊讶的表情。
值得一提的是,GeekPwn的组委、国内盘古安全团队还将在GeekPwn大会第二天,带来iOS8全球第一个越狱的首秀。
除了Keen Team安全研究团队联合组委会带来趣味性十足的硬件破解秀外,两天比赛期间,包括360安全路由器、中国市场占有率最高的路由器品牌TP-link旗下的随身路由器、极路由、360儿童卫士、锤子手机等众多热门智能硬件全部面对世界顶级黑客的挑战。
未知攻 焉知防
对于漏洞,王琦表示,Keen公司举办GeekPwn的初衷并不是为了炫技,而是通过攻破并发现智能设备的漏洞,推动厂商提高产品的安全性,进而为消费者使用安全提供保障。“我们希望发现更多的安全极客人才,和我们一起发现和消灭安全问题,共同保护我们的未来生活。对于攻破的产品来说,也是非常好的促进,因为我们相信,产品被发现和消灭的安全问题越多,产品越安全。这是GeekPwn首倡的新安全观。”
据悉,GeekPwn愿意将发现的漏洞按照业界规则及时提交给厂商,并协助其修复漏洞和安全隐患。在厂商修复漏洞之前所有细节不会对外公开,避免被人利用。
据了解,GeekPwn破解挑战赛比赛项目覆盖智能家居、智能穿戴、智能终端、智能交通、智能娱乐五大智能生活安全领域,并获得政府单位以及谷歌、腾讯、微软、华为、联想等全球知名企业的赞助和支持,奖金池额度高达叁佰万元人民币,为了吸引极客人才,主办方赛前就公布选手黑掉什么、就可以拿走什么,即便是特斯拉。
据王琦介绍,比赛最大奖项的奖金金额超过一辆特斯拉。
打造世界级黑客安全大赛
GeekPwn与Pwn2Own、 DEFCON CTF并列为世界三大安全赛事,所以为了保证大赛的规格和专业度,GeekPwn不仅对海量的参赛选手和项目进行严格的筛选,还特别选择业内知名安全专家组成豪华顾问团队和评委阵容。