“GeekPwn”让1024成为一个不在冰冷的数字”  10月24日,由KEEN主办的,被喻为“黑客奥运会”的GeekPwn大会今日在上海开幕,首日便有多款设备沦陷。其中,今天上午,长亭科技的参赛选手一次性攻破7款智能摄像头,引发现场一片哗然。而掀起无人机热潮的大疆无人机也被“劫机”。不仅如此,移动支付也成为被选手们关注的热点。包括支付宝、阿姨帮、京东、苏宁易付宝在内的诸多支付方式遭到“攻陷”。

而本届GeekPwn也增加了许多有意思的元素:

高大上的胸牌:微电子屏幕,现场可通过胸牌答题,甚至进入洗手间都需要解答胸牌上的题目。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

 

上厕所需先解密:胸牌会给你提示的。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

极客咖啡/鸡尾酒:微信支付15元即可得到一杯鸡尾酒或者两杯咖啡哦。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

今年的热点,基本集中在智能家居,无线路由,移动支付等领域。

重点1:O2O服务、互联网金融。站在互联网+的风口上,如今各类O2O服务,互联网金融已经成为了我们生活中必不可缺的一部分,移动支付,也成为了重灾区,在当天的演示当中选手们利用SSL、HTTPS等互联网底层协议的未知漏洞在用户不知情的情况下完成了0元支付,查询余额等侵害。个人隐私及个人信息被一览无余。此外,通过银联、支付宝等支付系统,选手们轻易的盗刷了用户的银行卡。同时,大量O2O项目被攻破,演示了免费下单,修改客户端订单,免费充值、获取数据库信息等侵害。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

重点2:智能家居、无线路由、无人机。

当天的活动当中,TP-link、D-link、极路由、360、小米等厂商的路由器产品基本全部被选手攻陷,利用智能路由器的未知漏洞,完成获取ROOT权限,演示本来要打开正常的GeekPwn官网,却链接到另外一个黑客山寨的被PWN掉的GeekPwn官网。联想、海尔等厂商的智能家居产品也成为攻击对象。在我们生活中经常使用的智能插座,智能摄像头等被选手们一一攻破。场上,长亭科技的参赛选手,更是一次性攻破了7台智能摄像头,让智能摄像头成为了侵犯用户隐私的工具,似乎,在现实生活中被我们津津乐道的智能设备都变成了选手们的玩具,可以随意摆布。“老鹰”还在现场演示了“土豪的玩具”无人机被劫机的场景。

今天的活动当中,也有几处好玩的小插曲

1.上午的活动当中,因为现场有干扰源,无人机一直无法正常起飞。先是主持人表示,抓到干扰源可以得到所有评委签名的T恤,后来“TK教主”自掏腰包1000块奖励。图为“TK教主”演示探测器使用方法。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

2.某队选手在演示盗刷银行卡的时候,演示机发生的卡死现象(三星莫名躺枪啊)。

GeekPwn 2015(极棒)安全极客嘉年华纪实-安全盒子

作为与Pwn2Own齐名的世界级黑客大赛,GeekPwn坚持科学中立、负责任的漏洞披露原则,在GeekPwn嘉年华上发现的所有漏洞细节都将根据流程与厂商对接,督促厂商修复安全问题,为普通消费者使用安全提供保障。