除了乾貨分享,今年ISC Hackpwn破解秀從大家熟悉的一些智能硬體設備入手,在見識白帽黑客們技術的同時,也讓大家又捏了一把冷汗。
人工智慧研究專家們都在努力讓機器人變得更加像人,甚至超越人類,但本屆Hackpwn破解大賽上,白帽黑客輕而易舉的就破解了智能家居機器人。
據現場介紹,機器人語音交流的操作過程是,用戶發送語音消息給機器人,機器人轉化成文字,經過雲平臺運算處理,反饋給機器人,機器人再反饋給用戶,看起來似乎沒有誰什麼明顯的漏洞。但其中不無破綻。黑客可以直接從語音傳輸反饋的過程中將機器人破解,完成越權操作,對機器人的問答語義進行修改,原本機器人在聽到用戶說出你好後的回答是你好,主人。但經過修改,機器人的回答則變成這名黑客定義的內容:「歡迎在座的各位爸爸們來到國家會議中心。」現場觀眾都樂了。
車鎖與智能駕駛的破解是全場講解時間最長的一個。Unicorn Team通過破解鑰匙加密協議,只用二十秒鐘的時間就成功破解了汽車的鑰匙,可以對車進行操控。
接下來,黑客們又對智能駕駛的破解進行了演示。據現場介紹,車的傳感器是特斯拉實現自動駕駛的靈魂,用來感應障礙物與道路表示,傳感器,車前矩,速度等,並通過感應做出對路線及行駛速度進行規劃。用一個外置傳感器來感應自動駕駛系統內的傳感器,可以輕而易舉讓自動駕駛系統的失靈。
8月3日,微軟面向全球發布了新的系統版本Windows10 RS1,並升級了安全加固措施。也才不到兩周的時間。360Vulcan Team團隊三位隊員就成功破解了Surface Pro防禦,並實現了遠程控制。奪取控制權後,白帽黑客現場調用了Surface Pro的攝像模塊,成功利用自己的電腦啟動了Surface Pro上的攝像頭,並獲得了全部影像信息。
據現場介紹,其團隊是通過攻擊windows系統自帶的Edge瀏覽器上的漏洞,從而完成對Surface Pro的控制權奪取。由於Edge在沙盒中運行,權限較低,因此利用漏洞實現沙盒逃逸,成為最簡單的破解方法。
智能門鎖的安全問題已經被曝光過許多次,但雷鋒網(公眾號:雷鋒網)表示,看到現場破解還是第一次。據現場介紹,白帽黑客在對分析智能鎖在設置密碼時的atp發現,設置密碼時會產生數據包,數據包是被加密的。在對算法進行分析後,白帽黑客寫成了一個腳本,通過腳本解密服務端。並將破解代碼寫了個app,用來在現場破解。
現場演示中,第一步用門鎖來掃描app地址,獲取了管理用戶,手機號,管理密碼,及開鎖密碼等信息。輕而易舉就打開了門鎖。
現場最後一個破解秀是娃娃機破解演示,白帽子黑客通過掃描支付二維碼,獲取數據訂單信息後成功破解了娃娃機。現場演示剛剛結束,會場內的兩個娃娃機旁就已經圍滿了人。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。