看雪智慧硬體小組在#2017GeekPwn 年中賽#獲得優勝獎!
GeekPwn 由國內頂尖資訊保安團隊碁震(KEEN)於2014年發起並主辦,至今已成功舉辦三年,是全球首個關注智慧生活的安全極客(黑客)賽事平臺,全球首個探索人工智慧與專業安全的前沿平臺,致力於為富有腦洞大開的創新思維、熱愛技術的極客提供一個展示及交流的舞臺,與 Pwn2Own、Defcon 並稱為世界三大黑客賽事。
5 月 13 日, 2017 GeekPwn 國際安全極客大賽在香港“雲頂夢號”郵輪順利舉行。本次比賽作為首個關注智慧生活的安全極客大賽,覆蓋智慧出行,智慧家居、智慧手機、智慧手錶等幾乎智慧生活的所有領域,來自世界各地的白帽黑客們在這裡上演了一場科技的盛宴,不斷重新整理人們的認知。
Cisco Catalyst 2960 交換機系統的最高許可權,僅僅幾秒之間,即被來自俄羅斯聖彼得堡的 George Nosenko 破解。
數十款路由器的最高控制許可權直接被海洋大學資訊保安實驗室的成員利用,個人隱私無處遁形。
一位女黑客tyy 利用漏洞,遠端控制了小鳴單車、永安行、享騎和百拜四款共享單車,實現了開鎖和騎行消費。
騰訊玄武實驗室的“X興趣小組”在移動安全威脅模型——Wombie Attack。通過對手機裝置韌體程式碼進行改造,使入侵後的手機變成新的入侵者。
……
智慧裝置如今已經進入尋常百姓家,智慧門鈴、手錶、電池、浴缸、烤箱等正在進入尋常百姓家。智慧家居系統正在給人們帶來越來越多的便利:人們可以通過智慧手機隨時隨地檢視家中的實時畫面,監視家中的一舉一動;通過一個小小的遙控器,就可以開啟一切想開啟的燈光和裝置。但是科技發展就像一把雙刃劍,帶來便捷的同時也深藏隱患。
在 Geekpwn 2017 現場,看雪智慧硬體小組成員王啟澤(看雪 ID:ggggwwww)和李偉(看雪 ID:xdxdxdxdxd)、甘傑(看雪ID:gjden)、gowabby參加了此次比賽,其中王啟澤和李偉到達比賽現場進行了演示,其餘兩人在後臺給予技術支援。小組成員針對智慧攝像頭、門鈴、插座等漏洞發起攻擊,表現十分精彩,給在場的評委和觀眾都留下深刻的印象。
1
在21世紀的今天,攝像頭已經遍佈街頭巷尾的各個角落。攝像頭的應用十分廣泛,從公共場所,如公交車上、火車站、店內…等,到私人處所,如家中、寶寶房間等,這些攝像頭幫助我們監控我們想要監控的一切,可是若被黑客惡意利用,後果難以想象。
王啟澤進行了遠端控制雄邁攝像頭並利用雄邁攝像頭殭屍網路發起 DDOS 攻擊演示。
比賽用雄邁攝像頭
在遠端控制攝像頭演示中,王啟澤利用廠家控制協議的漏洞,繞開許可權驗證,實現攝像頭的遠端控制,控制攝像頭轉動,實時檢視到了擺放在 Geekpwn 現場的銀行卡卡號。
王啟澤正在進行 DDOS 演示
在攝像頭 DDOS 攻擊演示中,王啟澤利用廠家驗證演算法的漏洞,成功了繞過廠家安全驗證,利用指令注入方式獲得裝置的完整控制權,植入木馬程式,使得該攝像頭裝置成為殭屍網路的一部分並控制該攝像頭裝置,進行了目標計算機發起 syn DDOS 攻擊。
這款攝像頭曾在去年10月製造了使大半個美國的使用者遭遇了一次集體“斷網”事件,Twitter、GitHub、Spotify、Airbnb、Etsy等大量站點都受到影響,人們十分驚恐。此次事件不僅規模驚人,而且對人們生活產生了嚴重影響。媒體稱之為“史上最嚴重DDoS攻擊”。
這是廠家已經修復Mirai事件問題之後,再一次重現了IOT裝置被黑客利用,發起分散式拒絕服務的場景。
2
智慧家居在當代生活中應用廣泛,涉及生活的方方面面,大到安防,小到燈泡。本次看雪智慧硬體小組的李偉攻擊物件為智慧門鈴、燈泡和插座。
智慧門鈴不僅能夠讓使用者通過手機實現開門和關門,還能讓使用者開放PIN密碼通道,當自己不在家的時候也能實現與快遞員的隔門通話。智慧插可實現電器待機自動斷電,解決“待機能耗”問題。節能減排、綠色環保。智慧燈泡則免去了下床開燈的麻煩。
演示所用裝置
李偉(xdxdxdxdxd)利用某品牌智慧家居產品存在的漏洞,遠端獲取其門鈴裝置控制許可權,現場瞬間變身玩具總動員。由現場觀眾錄製的一段聲音,直接就在智慧門鈴上播放了出來。
李偉與觀眾演示智慧門鈴
此外,他還演示了通過指令碼控制他人智慧插座,智慧燈泡和智慧門鈴工作的一個場景:當主人不在家,智慧硬體自己在家開party的場景。
現場,沒有人去控制,智慧燈泡開始自動變換燈泡演示,智慧門鈴播放了一段動感的音樂,智慧插座也自動給接在插座上的家電通電。看似燈泡、門鈴、插座都有了生命一般,實則背後反映的問題,讓人毛骨悚然。
演示
李偉、王啟澤領獎(獎盃左二)
看雪智慧硬體安全小組的成員的精彩演示給現場評委和觀眾留下了深刻的印象,獲得在場嘉賓的一致好評,兩項破解演示均獲得了組委會大獎。
3
隨著家庭中的各種裝置越來越智慧化,遠端管理成為了智慧裝置必備的功能。在方便了使用者的同時,也可能存在不可忽視的安全問題。
物聯網智慧裝置與我們的生活息息相關,看雪智慧硬體小組在 Geekpwn 上的演示,旨在提醒人們關注物聯網裝置的安全問題。隨著網際網路的普及與發展,智慧電視、智慧汽車、智慧手錶等各類智慧硬體產品正在進入人們的日常生活中。物聯網的發展將各種智慧產品連線起來,在給人們生活帶來便利的同時,也帶來了憂慮。智慧硬體的安全問題不容小覷。究其原因,一方面是由於智慧硬體廠商本身的技術問題,另一方面是廠商們對智慧硬體的安全意識不高。建議使用者,關注自己使用的智慧裝置的安全更新,及時升級到更安全的版本。
看雪智慧硬體小組
KHG
看雪智慧硬體小組,是一支專注於物聯網安全研究的團隊,致力於包含工業網際網路安全、智慧家居安全、車聯網安全、智慧醫療安全等領域的研究。曾在M-smart智慧家電安全挑戰賽中獲得第一名。
看雪論壇:http://bbs.pediy.com/
微信公眾號 ID:ikanxue
微博:看雪安全
投稿、合作:www.kanxue.com
相關文章
- [公告]看雪智慧硬體安全小組招募成員[永久招募]
- 看雪CTF.TSRC 2018 團隊賽 獲獎名單公示
- 【招募】看雪 Android 安全小組招募成員Android
- python獲得本機硬體資訊Python
- 我的獲獎方案,第二屆華碩伺服器IT硬體平臺搭建大賽伺服器
- 捷報頻傳|M01N戰隊榮獲2020WIDC世界智慧駕駛挑戰賽-資訊保安挑戰賽優勝獎
- 我校學子在山東省ACM競賽中獲得優異成績ACM
- 圖撲軟體榮獲第十一屆中國創新創業大賽全國賽優秀獎!創業
- 【獲獎】虎賁戰隊榮獲第二屆工業網際網路安全大賽優秀獎
- 2016,智慧硬體融資看哪裡?
- 軟體工程系學生在全國程式設計大賽中獲得優異成績軟體工程程式設計
- 【看雪課程】組合語言,開課啦!組合語言
- ChunJun 順利晉級“2022 年中國開源創新大賽”決賽,並榮獲“優秀開源專案/社群”獎項
- 接連獲得資料猿認可,國產BI軟體還得看Smartbi!
- 華為和谷歌在全球開發者眼裡二選一,誰會獲得勝利?谷歌
- 出門問問獲得谷歌戰略投資,打造人工智慧軟體、硬體和服務的深度融合谷歌人工智慧
- 美國碼農故事:寫程式碼獲得陸軍嘉獎獎章
- 「實在最佳」實在智慧榮獲“最佳科技創新引領獎”
- 大學生創業大賽:智慧硬體作品成熱門創業
- 中新賽克榮獲2022年中國工業網際網路安全大賽(福建省選拔賽)暨福建省第二屆工業網際網路創新大賽優秀組織獎
- Intel:75%的可穿戴裝置利潤被硬體廠商獲得Intel
- 看雪安卓容器安卓
- 中新賽克喜獲2021年中國工業網際網路安全大賽雙獎!
- 怎麼看筆記本硬體?想買筆記本不知如何看硬體筆記
- (小組)軟體工程小組軟體工程
- 『看雪眾測』這次的眾測物件是看雪!物件
- 2018世界人工智慧創新大賽最高榮譽SAIL獎獲獎名單揭曉人工智慧AI
- linux 看硬體配置 命令Linux
- 網易易盾在首個全國範圍大型人工智慧領域競賽上獲得最高階證書人工智慧
- 演算法題——投籃比賽獲勝概率問題演算法
- 硬核!奇點雲一舉斬獲人工智慧程式設計大賽一等獎、三等獎人工智慧程式設計
- TGA:2021獲獎名單彙總 國產手遊《原神》獲得最佳移動遊戲獎項遊戲
- 看雪安全網站網站
- 百度發起機器閱讀理解競賽,提供中文資料集,獲勝團隊獎10萬
- 中手遊及《仙劍世界》獲2023金翎獎年度優秀遊戲評選大賽兩項大獎遊戲
- linux 看硬體配置 命令2Linux
- [看雪課程]首個體系課重磅上線!《CTF訓練營-Web篇》文末有抽獎哦~Web
- WiFi萬能鑰匙安全應急響應中心贊助看雪 CTF 安全攻防大賽,5 萬大獎等你來拿!WiFi