淘新聞

電腦容易被勒索?智慧家居也不安全!

5月12日爆發的比特幣病毒(又稱勒索病毒)事件所帶來的連帶效應依然在網路中肆虐,這場爆發在包括英國、義大利、俄羅斯等全球國家範圍內的勒索病毒攻擊,只有支付高額贖金才能恢復,一旦逾期未支付,資料將被永久銷毀。

根據《每日郵報》稱,至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網路攻擊,這些機構包括醫院和全科醫生診所。

有專家表示,隨著週一工作日的到來,有更多電腦開機,勒索病毒會捲土重來。

但事實上,在這個駭客潛行的網路世界,只要聯網的設備,基本上可以斷定是不安全的。然而就在比特幣病毒肆虐的同時,一群來自全球範圍內的白帽駭客卻聚在了2017國際安全極客大賽極棒年中賽,在一場驚心動魄的破解大賽正在進行中。

作為全球首次海上安全極客大賽,GeekPwn挑戰智慧領域一切漏洞,覆蓋智慧出行,智慧家居、智慧手機、智慧手錶等智慧生活的所有領域。

// 共用單車很火?駭客來給你降個溫

五顏六色的共用單車,聚集在中國各大城市的街頭巷尾,這種火爆從2016年開始一直持續至今,而且熱度絲毫未減,反而持續升溫。但如今,共用單車企業們要注意了,因為街上騎行的每一輛車都可能已經成為駭客的目標。

作為本次參賽選手中唯一的女駭客“tyy”,就將攻破目標鎖定在了共用單車。比賽現場,“tyy”利用漏洞成功獲取了評委老師的共用單車帳號、餘額、騎行記錄等隱私資訊,通過場外連線用評委的共用單車帳號開鎖、騎行消費。

就這樣,在座的評委身體未動,但就這樣莫名其妙穿越去上海騎車了。

△ 女駭客“tyy”破解共用單車

作為非科班出身的選手,“tyy”業餘時間熱愛鑽研安全技術, 用1個月的時間就找到4款共用單車的漏洞,並登上了GeekPwn的舞臺。

當然,除了共用單車,與“車”有關的小米平衡車也中槍了。來自安恒海特實驗室的rainman將其攻擊目標鎖定在另一款智慧出行設備:小米9號平衡車。這位元駭客利用組合漏洞,通過電腦藍牙連接平衡車, 在電腦上運行腳本,就可繞過密碼,通過程式腳本完全遠端控制平衡車,讓其無法移動和關機。

不過選手也表示,這次發現的漏洞適用于無人狀態下,在平衡車上有人時,是無法實現遠端操控的。

// 你隨身戴的手錶,極有可能是一個竊聽器

其實智慧手錶誕生已經多年了,它也一度被資本退至風口浪尖,但是如果你現在正戴著一款智慧手錶,那麼極有可能有人正在竊聽你的行蹤。

來自百度的資深安全工程師“小灰灰”在2017國際安全極客大賽極棒年中賽上,揭露了小天才、米家小尋等當前主流兒童智慧手錶存在的安全性漏洞。這些高危漏洞不僅會造成兒童與家長的敏感資訊洩漏,還能被利用進行配置修改、信號劫持,甚至是完全控制。

△ 智慧手錶被現場破解,成為竊聽器

小灰灰現場演示了兒童智慧手錶存在的安全風險:第一類攻擊選手利用兒童手錶的各種通訊協定漏洞,成功在電腦端完全操控手錶:比如修改手錶內已存的連絡人號碼,將父親名字下的手機號替換成自己的手機號、完全偽造成孩子的手錶和家長的APP進行語音互動、任意更改掉手錶綁定的APP;

第二類攻擊是針對移動通訊GSM系統單向認證機制缺陷所發起的信號劫持:孩子撥通手錶上父親的號碼,而接到電話的卻是小灰灰本人。

小灰灰介紹,目前市面上的兒童智慧手錶都還只支援2G網路,而移動通信GSM系統設計上存在單向認證機制的缺陷。小灰灰此次正是通過修改 GSM 廣播通道相關參數實現了自動附著,從而能夠實現語音、資料信號的劫持和分析。

今後,GSM 尤其是 GPRS 的中間人方法還會大大拓展包括自動售貨機、共用單車鎖、工業採集設備等一大批智慧設備的攻擊面。

除此之外,與智慧手錶帶有智慧屬性的智慧家居也被駭客“一網打盡”了。來自百度安全實驗室的謝海闊、黃正就利用門鎖通信協定漏洞成功在無需物理接觸,無需拆解門鎖的情況下遠端秒破攻破果加智慧門鎖,獲得所有開鎖密碼。

值得一提的是,果加智慧門鎖是中國目前使用量最大的智慧鎖品牌,被多個公寓品牌所使用,其在京東自營店公佈其用戶數已超過100萬。

是什麼讓你智慧的家完全失控?來自看雪智慧硬體小組的選手們通過智慧門鈴與雲端的通訊協定漏洞,不僅使智慧門鈴響起了“怪聲”,還跨公網接管了一系列智慧家居設備。

對於駭客來說,不管在世界的哪個角落,一根網線,就可以控制所有連接到他雲平臺的智慧設備。

// “手機僵屍”,來自網路世界裡的“生化危機”

如果說以上被黑產品,也不足以讓你咋舌,那麼來自騰訊玄武實驗室X興趣小組帶來一種新的移動安全威脅模型Wombie Attack足以讓你刮目相看了。

Wombie Attack技術通過被感染者在地理位置上的移動來實現攻擊擴散,很類似僵屍題材電影的情節,被僵屍咬了的人也變成僵屍,會再去咬其他人。

△騰訊玄武實驗室“X興趣小組”

Wombie Attack不但可以實現傳染式攻擊,而且攻擊過程不依賴互聯網,所以甚至無法從網路層面檢測攻擊。選手在現場演示了用一台手機 A入侵附近的手機 B,並將手機 B 改造為新的攻擊者。然後手機 B 在靠近手機 C 時會自動入侵手機 C,並竊取了 C 中的資料。當 B 再次`回到 A 附近時,A 又從 B 上取得了從 C 中竊取的資料。

怎麼樣?來自互聯網,攻擊方式卻毫不依賴互聯網,但隨時可以實施攻擊,獲取你的資料和資訊。是不是很可怕?

智慧生活的普及,確實給用戶帶來了便利,但同時也給攻擊者開了一扇掌控你的大門,這對於每個線民來說,是多麼痛的領悟。

(文/宋長樂)