安全比赛攻破40余款主流软硬件 漏洞全部提交厂商


26日记者获悉,刚刚在上海结束的网络安全比赛“极棒2015嘉年华”中,参赛选手们攻破了40余款主流软硬件产品,其中既包括像大疆无人机、华为、小米、奇酷手机及路由器等智能硬件,也包括拉卡拉、银联支付系统、多款O2O应用等常见软件。比赛主办方表示,所有参赛选手发现的漏洞将提交给厂商,帮助厂商打造更安全的产品。

“极棒”是GeekPwn的音译,“Pwn”是极客常用语,指找到了产品漏洞。在比赛的一开始,一名参赛选手就在没有遥控器的情况下,实现了远程控制大疆无人机。

随后,十余名安全极客陆续攻破了360、小米、联想、D-link、TP-link等十余款路由器,利用未知漏洞,获取了智能路由器的系统权限。

对此,比赛主办方、安全团队keen负责人王琦介绍,“虽然攻破路由器看起来不那么酷,但这不仅难度大,而且危害大,因为任何通过这个路由器上网的信息都可以被截取,账号、密码、聊天记录、文件都可以在毫不知情的情况下泄密。”

现在还有不少人在用智能摄像头作为家里或办公场所的防盗系统。在比赛现场,一组参赛选手一次性攻破了7台不同品牌的智能摄像头,原本防盗的利器竟变身为窃取隐私的强盗。

对老百姓来说,最受关注的还是移动支付领域的漏洞。记者在现场看到,有选手攻破了拉卡拉收款宝POS机,只要在被攻破的POS机上刷过卡、输过密码,极客就可以转走卡内的全部余额,同样被攻破的还有盒子支付POS机。

更让观众吃惊的还包括很多互联网金融APP。例如,有选手攻破了银联账户交易系统,这样很容易就能盗刷用户的银行卡;有选手在用支付宝给“嘟嘟美甲”充值时,只需要支付1分钱,就能完成任意金额充值……

对于这些漏洞的处理,王琦告诉记者,“肯定会最早告诉厂商,而且在厂商修补好漏洞前,我们是不会对外公布漏洞细节。即使是以后公布,也是为了其他厂商能够借鉴教训,不要犯同样的错误。”

虽然有点像玩“大家来找茬”,但这场安全比赛也得到了各大厂商的支持和认同。其中,支付宝官方表示,“安全面前谁也无法独善其身,行业同仁与商户是个整体.支付宝已第一时间联系该美甲APP,并愿意为其紧急修复提供帮助”;奇酷手机官方也表示,“提供一个环境,让安全研究人员帮助识别潜在的安全漏洞,这有助于推进360奇酷手机在安全方面的发展”;拉卡拉官方则表示,对于暴露的漏洞,“目前已经完成系统升级”,“我们欢迎来自各方的挑战和专业建议,共建系统安全”。

发表评论