-
-
[公告]看雪智能硬件小组在#2017GeekPwn 年中赛#获得优胜奖!
-
发表于: 2017-5-24 17:02
-
GeekPwn 由国内顶尖信息安全团队碁震(KEEN)于2014年发起并主办,至今已成功举办三年,是全球首个关注智能生活的安全极客(黑客)赛事平台,全球首个探索人工智能与专业安全的前沿平台,致力于为富有脑洞大开的创新思维、热爱技术的极客提供一个展示及交流的舞台,与 Pwn2Own、Defcon 并称为世界三大黑客赛事。
5 月 13 日, 2017 GeekPwn 国际安全极客大赛在香港“云顶梦号”邮轮顺利举行。本次比赛作为首个关注智能生活的安全极客大赛,覆盖智能出行,智能家居、智能手机、智能手表等几乎智能生活的所有领域,来自世界各地的白帽黑客们在这里上演了一场科技的盛宴,不断刷新人们的认知。
Cisco Catalyst 2960 交换机系统的最高权限,仅仅几秒之间,即被来自俄罗斯圣彼得堡的 George Nosenko 破解。
数十款路由器的最高控制权限直接被海洋大学信息安全实验室的成员利用,个人隐私无处遁形。
一位女黑客tyy 利用漏洞,远程控制了小鸣单车、永安行、享骑和百拜四款共享单车,实现了开锁和骑行消费。
腾讯玄武实验室的“X兴趣小组”在移动安全威胁模型——Wombie Attack。通过对手机设备固件代码进行改造,使入侵后的手机变成新的入侵者。
……
智能设备如今已经进入寻常百姓家,智能门铃、手表、电池、浴缸、烤箱等正在进入寻常百姓家。智能家居系统正在给人们带来越来越多的便利:人们可以通过智能手机随时随地查看家中的实时画面,监视家中的一举一动;通过一个小小的遥控器,就可以打开一切想打开的灯光和设备。但是科技发展就像一把双刃剑,带来便捷的同时也深藏隐患。
在 Geekpwn 2017 现场,看雪智能硬件小组成员王启泽(看雪 ID:ggggwwww)和李伟(看雪 ID:xdxdxdxdxd)、甘杰(看雪ID:gjden)、gowabby参加了此次比赛,其中王启泽和李伟到达比赛现场进行了演示,其余两人在后台给予技术支持。小组成员针对智能摄像头、门铃、插座等漏洞发起攻击,表现十分精彩,给在场的评委和观众都留下深刻的印象。
1
在21世纪的今天,摄像头已经遍布街头巷尾的各个角落。摄像头的应用十分广泛,从公共场所,如公交车上、火车站、店内…等,到私人处所,如家中、宝宝房间等,这些摄像头帮助我们监控我们想要监控的一切,可是若被黑客恶意利用,后果难以想象。
王启泽进行了远程控制雄迈摄像头并利用雄迈摄像头僵尸网络发起 DDOS 攻击演示。
比赛用雄迈摄像头
在远程控制摄像头演示中,王启泽利用厂家控制协议的漏洞,绕开权限验证,实现摄像头的远程控制,控制摄像头转动,实时查看到了摆放在 Geekpwn 现场的银行卡卡号。
王启泽正在进行 DDOS 演示
在摄像头 DDOS 攻击演示中,王启泽利用厂家验证算法的漏洞,成功了绕过厂家安全验证,利用指令注入方式获得设备的完整控制权,植入木马程序,使得该摄像头设备成为僵尸网络的一部分并控制该摄像头设备,进行了目标计算机发起 syn DDOS 攻击。
这款摄像头曾在去年10月制造了使大半个美国的用户遭遇了一次集体“断网”事件,Twitter、GitHub、Spotify、Airbnb、Etsy等大量站点都受到影响,人们十分惊恐。此次事件不仅规模惊人,而且对人们生活产生了严重影响。媒体称之为“史上最严重DDoS攻击”。
这是厂家已经修复Mirai事件问题之后,再一次重现了IOT设备被黑客利用,发起分布式拒绝服务的场景。
2
智能家居在当代生活中应用广泛,涉及生活的方方面面,大到安防,小到灯泡。本次看雪智能硬件小组的李伟攻击对象为智能门铃、灯泡和插座。
智能门铃不仅能够让用户通过手机实现开门和关门,还能让用户开放PIN密码通道,当自己不在家的时候也能实现与快递员的隔门通话。智能插可实现电器待机自动断电,解决“待机能耗”问题。节能减排、绿色环保。智能灯泡则免去了下床开灯的麻烦。
演示所用设备
李伟(xdxdxdxdxd)利用某品牌智能家居产品存在的漏洞,远程获取其门铃设备控制权限,现场瞬间变身玩具总动员。由现场观众录制的一段声音,直接就在智能门铃上播放了出来。
李伟与观众演示智能门铃
此外,他还演示了通过脚本控制他人智能插座,智能灯泡和智能门铃工作的一个场景:当主人不在家,智能硬件自己在家开party的场景。
现场,没有人去控制,智能灯泡开始自动变换灯泡演示,智能门铃播放了一段动感的音乐,智能插座也自动给接在插座上的家电通电。看似灯泡、门铃、插座都有了生命一般,实则背后反映的问题,让人毛骨悚然。
演示
李伟、王启泽领奖(奖杯左二)
看雪智能硬件安全小组的成员的精彩演示给现场评委和观众留下了深刻的印象,获得在场嘉宾的一致好评,两项破解演示均获得了组委会大奖。
3
随着家庭中的各种设备越来越智能化,远程管理成为了智能设备必备的功能。在方便了用户的同时,也可能存在不可忽视的安全问题。
物联网智能设备与我们的生活息息相关,看雪智能硬件小组在 Geekpwn 上的演示,旨在提醒人们关注物联网设备的安全问题。随着互联网的普及与发展,智能电视、智能汽车、智能手表等各类智能硬件产品正在进入人们的日常生活中。物联网的发展将各种智能产品连接起来,在给人们生活带来便利的同时,也带来了忧虑。智能硬件的安全问题不容小觑。究其原因,一方面是由于智能硬件厂商本身的技术问题,另一方面是厂商们对智能硬件的安全意识不高。建议用户,关注自己使用的智能设备的安全更新,及时升级到更安全的版本。
看雪智能硬件小组
KHG
看雪智能硬件小组,是一支专注于物联网安全研究的团队,致力于包含工业互联网安全、智能家居安全、车联网安全、智慧医疗安全等领域的研究。曾在M-smart智能家电安全挑战赛中获得第一名。
看雪论坛:http://bbs.pediy.com/
微信公众号 ID:ikanxue
微博:看雪安全
投稿、合作:www.kanxue.com
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
很不错。
|
|
|
厉害
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
