美女黑客揭秘:“无锁不开”女黑客——skye

听说世界上只有百分之3的人关注Jayson,很幸运你是其中一位

声称最安全的“指纹U盘”需要在确认主人的指纹后,才能读取保密部分的文件,可是黑客用自己制作的部件替换了U盘中辨认指纹的部分,并且改写读取保密文件的指令,就能在不需要获得指纹U盘主人指纹信息的情况下,获取指纹U盘里的保密文件。

你以为给办公室装上密码锁、摄像头就能保证电脑信息安全,却不知道黑客制作了机器人,能够从通风管进入,在房间里放置窃听器、遮挡干扰摄像头,并且由两个机器人配合,完成对电脑内文件的窃取。

机器人“特工队”

最新的智能锁很受普通用户欢迎,因为它们不需要钥匙,通过比对密码、指纹或者手机远程操控开关,可是在黑客面前,只要一个网络环境,就可以控制智能门锁网关,随心所欲地操控大门的开关……

这些好似科幻小说或科幻电影里的场景,这两天却在上海一处舞台真实上演。因为2018国际安全极客大赛(GeekPwn 2018)再次登陆上海,在10月24日和25日的两天里,来自世界各地的安全研究员、“白帽子黑客”(常指那些为了弥补安全漏洞而进行模拟攻击的黑客),组成黑客界“最强大脑”团队,攻破重重关卡与迷阵,上演了一场现实版“黑客帝国”。

在这次比赛上,解放日报·上观新闻记者遇到已经连续多年参加比赛的女黑客skye——毕竟在黑客的世界里,女性并不多,所以在男性为主的参赛选手中,漂亮的她非常显眼。

skye在赛场上

skye的正式身份是腾讯安全移动安全实验室参赛选手,此次参加的比赛是基于漏洞攻破挑战赛,主攻智能门锁破解。在比赛中,skye与三名同伴合作破解智能门锁,她主要负责寻找攻击入口,构造攻击路径以及合理化攻击场景。

面对比赛现场各种“脑洞大开”却又让人不寒而栗的黑客攻击场景,skye为记者进行了简单解读,同时也从网络安全研究人员的身份提醒,普通人对各种智能产品还需要多留一个新鲜,“相对而言,大品牌的产品较为可靠;而不乱连公共Wi-Fi、不乱扫二维码是防止黑客攻击的最基本的措施。”

“不断修复才能越来越安全”

skye今年25岁,毕业于国内某国防大学计算机专业,在校期间就熟练掌握计算机操作系统、编译原理、汇编语言等计算机基础课程,在研究生阶段,她还从事过人工智能技术的课题研究。出于对安全技术的热爱,她在校期间就很喜欢漏洞挖掘技术,特别是挖掘智能设备的漏洞挖掘。“‘挖漏洞’是一个不断突破自己思维的过程。你要不断的突破自己的思维,不仅要逆向思维、还要突破正向的一些开发思维。”skye破解过路由器、摄像头、智能门锁、自行车锁等智能设备,短短一年所挖掘的高危漏洞达50多个。不过在这些漏洞中,她觉得很难挑出“印象最深刻”的那个,因为“每一个都突破了自己思维”。

之所以在这次的比赛中她选择了智能门锁,因为可以借此让各界意识到智能设备也存在安全漏洞。Skye说:“现在物联网设备、智能设备比较火,所以大部分的黑客都会关注这部分。相比之下,只能门锁是物联网、智能设备中比较冷门的那个,但是智能门锁作为物联网中的家庭布局,是生命安全、财产安全的第一道防线,所以我选择了智能门锁。”

skye在比赛前的半年里就专注于智能门锁的安全机制研究。通过深入理解智能门锁系统,她往往能够在很短时间内挖出门锁的高危漏洞,发现攻击面,并创造简单新奇的攻击方式,轻易绕开门锁的安全机制,轻松“破门而入”。在半年内,skye攻破了十几款智能门锁,挖掘高危漏洞20多个,基本达到无“锁”不破的程度。

“漏洞挖掘多了,你会不会对这个世界充满不安全感?尤其是智能门锁都不安全。”记者将这个问题抛给skye。

“会有一点点吧!”她坦言,但立刻话锋一转:“但是我觉得,系统是人做的,不可能100%安全,所以需要我们去挖掘漏洞,然后修复,这样才会让世界变得越来越安全。”

所以面对诸多被自己攻破的智能门锁,skye认为公众也不需“因噎废食”:“消费者可以选一些大品牌的产品,因为他们比较关注自己的产品。我们发现漏洞,也会第一时间告诉这些企业,而他们反馈地业比较及时,立刻通过后台对漏洞进行弥补,产品也会迭代。最终,产品会变得越来越安全。”

人“攻”智能是为了更加安全

skye的破解智能门锁只是今年极棒大赛中的一个亮点。很多安全研究员或白帽子黑客也展示了其他智能设备中的安全漏洞:

你以为智能手机中相册加密,别人就看不到吗?来自AMC团队杨志伟、胡强成功完成手机私密相册的破解挑战。他们利用手机操作系统的漏洞,通过在手机中安装一个恶意app,root权限执行任意命令,从而实现在手机中静默安装木马。他们说,有了这样的木马,即便相册密码再长、再复杂,都能被黑客攻破。换句话说,用户不轻易“扫一扫”或随意下载app,是防止这类攻击的有效办法。

你能想象一张纸就能打开安卓手机的屏下指纹锁?腾讯安全玄武实验室就现场演示了一番:安全研究员通过一张普通的卡片,可以让任何人对手机的屏下指纹进行解锁。因为目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像,而安全研究员通过反射体欺骗的方法,利用屏幕上残存的指纹痕迹,让屏下指纹传感器误认为手机的主人正在使用指纹验证。据悉,该漏洞属于屏下指纹技术设计层面的问题,几乎无差别地影响所有使用屏下指纹技术的设备。但让用户安心的是,腾讯安全玄武实验室发现这一楼洞后,从今年初开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动供应链层面的安全修复。

安全研究员和白帽子黑客在研究“进攻”方式

极棒大赛发起和创办人、安全公司KEEN公司首席执行官王琦表示,“人工智能”一词近来很火,但极棒大赛堪称“人‘攻’智能”,但“人‘攻’智能”的目的是为了帮助更多的生产商防范漏洞。创办五年来,极棒带赛带来了许多破解展示,向厂商提交了近千个严重安全威胁漏洞,绝大多数漏洞并未在现实生活中爆发危害就已经被提前消灭。他觉得,这才是极棒大赛的意义:“漏洞从来不是因为黑客才存在,恰恰是被黑客发现后消灭的。极棒要让更多人关注到智能生活中安全问题的重要性。人“攻”智能不是目的,我们这些年的努力,是为了让更多的人可以享受智能生活,让黑客带给我们更安全的光明和未来。”

腾讯高级副总裁丁珂也表示,腾选安全与极棒也进行了五年的深度合作,目的也是希望以前瞻和敏锐的黑客思维去探索、发现世界的新规律,最终建立安全的网络环境、安全社区:“一方面,腾讯安全保持对安全社区的持续关注和投入,通过组织极客赛事、发布前沿技术、参与比赛等形式打造国际前沿的技术交流平台;另一方面,腾讯安全团队将自身安全能力开放给各行各业,为建设数字安全新生态提供助力。”

跟着Jayson玩耍看世界,带你装逼带你飞。喜欢的观众老爷可以点波关注,Jayson在此跪拜。记得点赞,点赞,点赞!还有底部广告呀~

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181101B215VZ00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券