订餐、打车、看电影、上门服务……现代人的生活已离不开手机APP,在2016年央视315晚会上,白帽黑客利用路由器漏洞,对接入安全正规Wi-Fi的现场观众手机进行流量监听,轻松获得其APP订单相关隐私信息:个人身份、喜欢吃什么、每天的出行路线、上门服务订单等等,在舞台大屏幕同步呈现其完整生活轨迹。
事实上,央视上展示的路由器漏洞是2015年GeekPwn黑客大赛选手之一上海交大0ops战队的研究成果,而主办方KEEN公司则为315晚会这个互动环节的提供技术支持。
GeekPwn(极棒)黑客大赛创办人、KEEN公司CEO王琦对腾讯科技表示:“去年315相关团队在我们比赛的现场看到了一些设备上的安全漏洞,就想能否给消费者提供一些建议,从那时就开始计划进行合作了。”
据GeekPwn智能安全专家介绍,目前市面上多数路由器都曾被发现过安全漏洞,可以被远程入侵控制,接入这些路由器的手机,只要APP在传输个人隐私信息时没有进行加密,都有可能导致个人隐私泄露。GeekPwn安全专家检查了部分常见手机APP,发现不加密通信状况在各种手机APP中非常普遍。通过路由器的漏洞,这种不加密的隐患在现实中被放大了,不仅照片、姓名,电话等常用信息会被泄露,甚至包括家庭住址、身份证号码、银行卡号、个人生理周期等各种个人私密信息。通过对这些信息的组合,基本上可以比较准确地勾勒出目标对象的基本生活习惯,从而为攻击者进行下一步的攻击打开方便之门。315晚会上主持人就假设,如果O2O到家服务泄露了上门时间、家庭住址,如果坏人冒充来上门怎么办?
网络安全与智能生活安全成为央视315晚会重点曝光对象,不仅有利用路由器漏洞获取观众隐私信息的情景互动,更有智能生活安全“黑客大片”上演。
正在执行任务的无人机突然被劫持、家中的智能插座失控导致灯光不停闪烁、智能烤箱突破温度限制自行开始升温、智能摄像头监视下的上海深圳两地家庭的生活画面一览无遗、银行卡中的钱不知不觉被智能POS机转走……央视315晚会上的“黑科技大片”让全国观众眼界大开。而这部短片正是央视联合黑客赛事平台GeekPwn共同制作的。
据GeekPwn主办方介绍,该短片展现的基本全部来自于历届GeekPwn黑客大赛上选手真实的漏洞比赛项目,而它们仅为GeekPwn两年来众多攻破项目中的一部分,白帽黑客选手们攻破的产品领域几乎涵盖了我们日常生活的方方面面,包括通讯、娱乐、支付、交通、网购、家居等等。
不过GeekPwn安全专家认为,作为普通消费者的我们大可不必惊慌,事实上这些场景都是维护正义的白帽黑客为了警示智能产品厂商做的公开演示,在现实中这些危害本身尚未完全显现,但不可否认的是,智能产品已经成为我们生活的一部分,而智能行业的安全意识和安全能力都比较低下,对此我们再也不能继续忽视下去了,智能小漏洞可能造成生活大危害。王琦对腾讯科技表示:“现在国内一些主要的O2O公司,安全防范意识比较差,数据不加密为主,或许他们是认为这些数据并不重要。”但王琦也表示目前国外的相似公司的安全防范意识比较强:“国内很多公司也开始意识到这方面的重要,在数据安全方面进行了加强。”
王琦在315晚会前对腾讯科技表示,借助各种各样的智能设备,我们的日常行为都被进行了数字化,几乎所有的智能设备都存储或传输着我们的个人信息,或者执行我们所发出的指令。但现阶段的智能设备领域尚处在初级阶段,很多以“智能”为卖点的设备并非真正的“智能“,更非现在热点的人工智能,而仅仅是增加了网络控制功能。例如消费者可以使用手机远程控制一台电风扇,但电风扇还远远未发展到具备分析消费者使用习惯进行智能送风的阶段。如果厂商仅仅重视用户体验来抢占市场、而忽略了产品的安全设计和开发,增加的网络控制功能就可能成为反被恶意攻击者利用的通道,轻则泄露信息,重则危害公共或人身安全。
“产品硬件有问题,很容易理解是产品质量问题,而智能设备如果存在安全漏洞,导致消费者可能被恶意入侵,是不是也应该属于质量问题呢?”王琦抛出了这个观点,他认为,如果通过这次315能够帮助智能行业安全能力水平赶上整个产业的发展速度,普通消费者的权益才会得到更好的保护,厂商也才能获得更长远的发展。
值得欣慰的是,经过两年的发展,GeekPwn黑客大赛中被攻破的智能产品厂商已经逐渐意识到产品安全等同于产品质量的重要性,并认可了极棒的安全观:“世界上不存在完全没有安全漏洞的智能产品,但是安全漏洞被发现和消灭的越早,智能产品越安全。”央视315短片中的绝大多数厂商也都已经及时修补了漏洞。“安全性是攻防对抗之间的一个平衡,勇于接受白帽黑客的挑战,并及时修复自己产品漏洞的厂商,是值得信赖和尊敬的。”王琦说。
针对消费者层面,王琦则表示:“对于用户方面,我们只能给出一些建议,比如说如果当你无法确认酒店、星巴克等地方的公共wifi是否已经被黑客控制,那么当你上传或下载一些比较重要的资料时尽量用3G或4G网络。”
本文转自d1net(转载)