专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
相关文章推荐
吉安发布  ·  多平台宣布! ·  17 小时前  
吉安发布  ·  多平台宣布! ·  17 小时前  
青岛日报  ·  胖东来深夜公告:严重者追究刑事责任 ·  昨天  
青岛日报  ·  胖东来深夜公告:严重者追究刑事责任 ·  昨天  
柠檬工会  ·  刚刚,DeepSeek ... ·  2 天前  
柠檬工会  ·  刚刚,DeepSeek ... ·  2 天前  
南宁融媒  ·  买药“比价神器”来了!在广西,这样查→ ·  3 天前  
南宁融媒  ·  买药“比价神器”来了!在广西,这样查→ ·  3 天前  
51好读  ›  专栏  ›  安在

参加完2017XPwn,有种去了一趟鬼屋的刺激感!

安在  · 公众号  · 互联网安全  · 2017-09-07 19:06

正文



昨天,参加了一个峰会。

然后,被吓到了。

这这这 ......这些议题,每个标题,不用展开就蕴含了很多深意,说明了很多哦!


试想一下如果某一天自己的生活中这些事情真实上演。。。。

01

为什么我的手机中多了一个你?


当你睁开眼睛,想要查看一下天气预报,然而打开手机却傻眼了:咦,咦,咦,这都是什么???我什么时候下载了 xxx!这都是什么鬼?

恭喜你,你中招了!老实说吧,你昨天偷偷点什么了。。。

大家应该都有这种经历,你莫名其妙发现手机里多了一个软件,然而你清晰记得自己从未下载安装过。那 “它” 是从哪里来的?怎么来的?安全吗?


9月6日,在Xpwn来自蚂蚁金服巴斯光年安全实验室曲和、 超六给大家解了惑。会上,他们神奇又直观地展示了,陌生的“它”出现在你手机中,又神奇消失的过程。

现场,曲和和超六使用的设备,均使用了最新的 6和7的系统,并且所有的设备打了最新的安全补丁。但,在他们面前,这道安全屏障似乎毫无用处。他们轻松地就侵入手机,实现远程安装任意APP,远程装卸APP,甚至清除锁屏,本地安装卸载应用等动作。

怎么做到呢,简单来说呢,攻击者会发送一个攻击性短信链接或者网页链接给到用户,当用户点击该链接,即可自动在用户设备上安装预设 APP。所以,当你真的点了类似的短信或者网上链接后,你的手机就中招啦!



也是相同的场景,假设用户收到一个短信连接,因为好奇而点击一下。咦? APP就彻底失踪了?神奇吧,陌生的链接可千万不要点了。否则,你的手机就不是你的了。

随后,他们还展示了更加震撼的一个演示:清除指纹解锁。很简单,只需要在设备当中事先安装一个本地攻击的 APP,点击这个APP,就是能把设备上的密码和指纹全部清空。

看完他们的演示,不禁握紧了自己的手机。还能不能愉快地玩手机了!

02

共享单车≈无锁单车


现在的我们,除了离不开手机,还有一个设备的分量也越来越多。那就是 “共享单车”。走出大门,放眼望去,一片黄橙蓝绿。

如果有一天,你发现小黄变成了小黑, ofo变成了UFO,别吃惊,我知道是谁干的!


在极智未来 XPwn会场上,百度实验室的高树鹏(小灰灰)和黄正分分钟破解了ofo小黄车的车锁,并成功把车锁密码换成了自己想要的密码。

ofo小黄车一定会无比懵逼吧,为什么是我?到底为什么!

小灰灰在会场表示:选择哪个品牌做测试,其实也是十分头疼的问题。其实破解单车,最终还是破解 “锁”。所以,决定选择一些数量大,或者影响范围广,或者很大的生产商。最终,锁定了马蹄锁。马蹄锁已经生产到第十代了,各种各样的锁都会生产,都是智能锁,在线用户有200万,有共享单车,还有卡车,还有仓库大门,物流锁。

对的,就因为你最大,你还用了马蹄锁,所以就是你了!


简单的开锁,相信已经引不起黑客们的兴趣了。高树鹏和黄正重点演示了,如何换掉小黄车的密码,彻底将车辆 “占为己有”。

实际上简单来说,小黄车每锁一次都要向服务器汇报: “我已经锁上了,我需要新的密码”。所以,当锁车时,用自己的云端伪装成小黄车的服务器,然后向小黄车发送密码,小黄车就这样被骗了,乖乖变成“小黑车”。

来来来,买桶漆,让我们一起来创业吧。 OFO变成UFO,小黄车变成小黑车。


03

深夜窗帘自动打开你会害怕吗?


深夜窗帘自动打开你会害怕吗?

废话!当然害怕了呀。

更何况昨天刚过完中元节。。。

来自复旦大学系统安全攻防团队的谈心、陈均衍、张源问展示了通过 Broadlink的漏洞对电动窗帘的插座进行授权,从而获得插座的控制权。


“想象一下无人的深夜里,在黑客的远程操控之下,窗帘打开了,当然我们可以控制打开,也可以控制关上,通过这个方法,能够获取到你家里窗帘的控制权,任意打开和关闭,你的隐私就荡然无存了。”

手机可能是因为一些操作不当而泄露了自己的隐私,而酒店则成了被动泄露 “个人隐私”的重灾区。针孔摄像头、有猫腻的玻璃窗等,已经让人恐慌不已。而这次又要添加一条“恐怖地窗帘”

结束了会议住酒店的小编,此刻正瞪着窗帘,默默失眠中( PS:凌晨1点24分)。


04

请问这是你的艳照吗?


“这是你的艳照吗?”

“额。。。不是啊,怎么会是我,长得那么丑”。

“可是我看到过你相机里的原片哎”

“。。。。。。”


提到了酒店中的隐私泄露,不免想到了 “艳照”。而如今“艳照”可不止手机外流,酒店被拍这些方式,小心你的相机也会出卖你。

在现场,长亭安全研究实验室的成员周智分享了一个很欠打的议题 "请问这是你的艳照吗?"。


他提到:微单像机利用程序找到一些方式,远程在上面安装一些用户不想用的应用,带来效果是非常严重的。只需要安装一个恶意程序,就能自动安装一些软件,并且自动上传所有拍摄照片到指定位置。这个过程不需要用户再进行任何操作,均可自动完成。

你的相机安全吗?相信很多人都不太会像注重手机安全那样去注重相机的安全问题。但事实上,相机也越来越成为一款日常重要用品,还是应该引起重视。


05

你希望被跟踪吗?


“喂,我感觉我被跟踪了”







请到「今天看啥」查看全文