首页
社区
课程
招聘
[转帖]GeekPwn现场破解360儿童卫士的技术分析
发表于: 2014-10-27 13:40 5352

[转帖]GeekPwn现场破解360儿童卫士的技术分析

2014-10-27 13:40
5352
360儿童卫士实际未被破解:前面20多分钟破解失败后,后面的演示实际是自圆其说的做法。 对现场破解结果表示质疑:整个现场演示,没有呈现任何破解的细节操作过程,换句话讲,演示过程完全可以造假,通过产品的正常操作来伪造出被攻破的效果。我来详细说明一下。

1)第一种破解方式,真不知道台上那3位工程师在干什么,只见他们在台上嘀咕着什么,脸色凝重,满头大汗,忙碌一阵后,说该功能无法使用,所以无法破解。这不就是为失败找借口么?还不如宣称破解失败,做人就要大大方方。

2)第二种破解方式,工程师拿着手机对大家说我的手表在万豪酒店,接着就打开笔记本上的工具软件显示了几行json格式的文本,说这是截取到的手表位置信息,然后把位置信息填到某个地图查询网站,查询结果为万豪酒店。这简直就是胡扯,谁都可以编出这么一个段子来。我也来造一下,我现在告诉大家我在北京动物园企鹅馆,然后去http://www.earthol.com,查找企鹅馆的地理位置,为经度:116.33218146089939 纬度:39.94026180135482 (见图右上角的红色显示区域)



然后我也编一个数据,号称这个数据是从导航仪上截取到的,
{“longitude”:”116.33218146089939”,”latitude”:”39.94026180135482”,”address”:”北京市动物园企鹅馆”} 意思就是经度为116.33218146089939,纬度为39.94026180135482,地址是北京市动物园企鹅馆。然后在http://www.earthol.com输入经纬度,点击“GO!”,位置就在企鹅馆。各位看官,以后您也可以上台讲解位置破解了。(见图右下角的红色输入区域)



3)第三种方式,远程关机。
工程师在台上说我们可以远程关闭360的儿童手表。在进行演示的过程中,工程师说“不好意思”、“抱歉”、“不好意思”、“抱歉”,焦虑了10分钟后,责怪手表不响应关机指令。哎。。。跟便秘了责怪地球没吸力是一个套路,叫做气急败坏。。。

4)第四种方式,被踢下线。
这个完全是胡说八道,我也不知道台上这位工程师是不是做安全的,可能他不是。众所周知,腾讯的QQ、微信等需要用户登录的手机产品,只要在一部手机上登录了,在另外一部手机上就会被踢下线,这是种账号保护的安全机制。360儿童卫士同样也采取了这种方式,却被台上的工程师说通过攻击把登录帐号下线,其实他们完全可以准备两部手机,一部在前面演示,另外一部在后边登录,造成攻击被踢下的假象。

本次赛会主题是智能设备破解,但整个破解过程完全跟儿童卫士手表硬件无关,按照攻击者的自述,几种攻击尝试均通过伪造客户端APP网络请求进行,能够这样做的前提是,攻击者已经事先获得了用户的身份校验信息,从这个角度讲,攻击者实际攻破的是手机自身的安全系统。 一旦安全系统被攻破,意味着不仅仅是微信这样的APP,甚至包括银行的网银客户端,都会因为用户信息泄漏造成安全漏洞,特斯拉被攻破也是同样道理。即便如此,对于儿童卫士产品来说,攻击者至多只能获取绑定在当前手机的儿童卫士手表信息,根本无法获取其他用户的位置信息。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 579
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
在说些啥呢?没看懂。
2014-10-27 13:50
0
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
不明真相的群众路过
2014-10-27 14:00
0
雪    币: 1443
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
汗,250+110好激动的样子。。。话说以后白帽子们最好别惹到它。。。
2014-10-27 14:37
0
雪    币: 287
活跃值: (583)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 15:10
0
雪    币: 60
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 15:23
0
雪    币: 53
活跃值: (528)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 15:56
0
雪    币: 1121
活跃值: (717)
能力值: ( LV5,RANK:66 )
在线值:
发帖
回帖
粉丝
8
上传的附件:
2014-10-27 16:35
0
雪    币: 100
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 16:37
0
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 17:17
0
雪    币: 42
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
[QUOTE=supertyj;1326558][/QUOTE]

打脸了啊
2014-10-27 17:37
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-27 20:44
0
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
看的一头雾水 完全不知道说啥
2014-10-28 17:18
0
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
说实话,我也怀疑这个攻击掺了水份。。
2014-10-29 10:01
0
雪    币: 24
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
请到 360安全应急响应中心  微博,查看漏洞报告。然后自己打自己脸。数字公司信息不同步决策不协调啊。
2014-10-29 13:25
0
雪    币: 60
活跃值: (313)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
根据楼主发言得来的结论是 任何攻破360产品的技术都是不真实的
2014-10-29 13:48
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
2345那个招聘的横条放在页眉挺难看的。
2014-10-29 14:05
0
雪    币: 27
活跃值: (622)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
18
没看到这个部分。。。可惜了
2014-10-31 07:17
0
雪    币: 6845
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
你是公关吗?
2014-10-31 09:03
0
游客
登录 | 注册 方可回帖
返回
//