10月24日,由知名安全团队KEEN主办的GeekPwn2015嘉年华在上海举行。在这场被业界称为“黑客奥林匹克”的国际智能软硬件挑战赛中,40余款主流软硬件产品成为角逐对象,移动支付、O2O、智能家居等领域的安全问题成为今年的热点。一架大疆无人机在GeekPwn评委“鹰”的操作下起飞,并按照评委的遥控指令平稳飞行。评委们把无人机遥控器放在一边。起飞。这是一张GeekPwn嘉年华参赛选手在现场展示劫持无人机的照片。主流手机成选手攻击目标路由器、摄像头产品全被黑活动期间,小米、华为等主流手机品牌相继被选手黑。玩家在安卓手机上安装一个正常权限的应用程序,利用本地提权漏洞获取系统权限后,该应用程序会替换手机的开机画面。多位白帽黑客演示了360、小米、联想、D-link、TP-link等十个品牌路由器的黑客攻击场景。该路由器利用智能路由器的未知漏洞获取ROOT权限,并演示本应打开正常的GeekPwn官网,却链接到另一个被黑客PWN的GeekPwn官网。移动金融支付成为重灾区。由于涉及财产安全,金融支付工具和渠道的安全威胁影响更广、破坏力更大。在当天的演示中,白帽黑客利用SSL互联网底层协议的未知漏洞,在不知情的情况下查询用户的余额和消费记录。个人隐私会受到侵犯,个人信息一目了然。在GeekPwn智能软硬件破解大赛现场,选手们还轻松破解了拉卡拉收款机的POS机,导致卡内余额莫名消失。盒子支付POS机也被攻破。此外,通过银联账户交易系统,黑客可以窃取用户的银行卡。O2O让黑客买买买白帽黑客现场演示了如何利用嘟嘟美甲充值系统项目的漏洞,通过手机调用支付宝,完成任意价格下的订单充值实际支付1美分的条件。现场参赛选手还进行了利用“阿姨帮”系统未知漏洞进行任意充值的演示。事实上,除“阿姨帮”外,很多O2O产品在支付接口上都存在类似的漏洞。有意思的是,这位选手原本报名的是一个名为“E家街”的O2O项目,因为发布会当天官方云服务关闭,经过与选手的短暂交涉,临时改为“刚阿姨”.智能家居安全隐患无处??不在。智能家居产品逐渐走进寻常百姓家。GeekPwn参赛选手现场演示,黑客可以将智能相机变成侵犯用户隐私的道具。参赛选手现场演示如何突破智能烤箱,随意调节温度和频率。试想一下,电影中的烤箱爆炸,可能真的在现实生活中上演,威胁到生命安全。华为、小米等安全负责人当场接受了漏洞披露。GeekPwn主办方KEENCEO王琦表示,坚持科学中立的判断和负责任的漏洞披露是GeekPwn一直坚持的原则。据悉,在GeekPwn参赛项目确定前,组委会邀请所有参与项目的厂商现场观摩,并对厂商和用户负责。10月24日挑战赛当天,华为、360、小米等厂商的安全负责人参加了现场活动。挑战结束后,组委会第一时间向现场厂商提交漏洞报告,帮助厂商尽快修复。产品漏洞,从而大大降低安全隐患,让智能生活更安全。一场技术官僚打造的黑客文化节除了激烈的比赛,GeekPwn嘉年华还有别具一格的黑客主题创意设计和科技互动娱乐活动,打造一场纯粹的黑客文化盛宴。就连一个小小的徽章也充满了黑客风,全场的徽章是一块智能硬件-电子微屏。观众通过徽章回答挑战,获胜者的ID可以显示在每个人的徽章上。每一位成功展示突破项目的参赛者的名字都会出现在其中。更有意思的是,在GeekPwn嘉年华现场,进入洗手间也是一个挑战,因为任何人进入洗手间都需要先破解密码问题。作为全球首个聚焦智能生活的安全极客嘉年华,GeekPwn2015受到了政府和行业的高度关注。上海市信息化青年人才协会顾问、共青团上海市委副书记王立伟,腾讯公司安全总监丁科,惠普安全研究院漏洞总监、Pwn2Own主办方BrianGorenc等嘉宾出席嘉年华启动仪式并发表讲话。
