控制所有的攝像頭,或開或關(guān),或拍攝本不該有的畫面……你以為這種黑技術(shù)只有《碟中諜》這類好萊塢大片中才有。然而在昨天舉辦的上海Geek Pwn(極棒)2015嘉年華中,白帽駭客們就現(xiàn)場演示了這一幕幕“電影中的場景”,其中一支代表隊(duì)現(xiàn)場就攻破了7隻主流品牌攝像頭,完全控制攝像頭的運(yùn)動和拍攝。

　　在這場倍受人們關(guān)注的“駭客奧運(yùn)會”上,移動支付、O2O、智慧家居等領(lǐng)域的安全問題成為今年的熱點(diǎn),超過40款主流智慧軟硬體被安全極客們攻破,包括華為、小米、京東、海爾等品牌都成為攻破對象。

　　不接觸銀行卡也能轉(zhuǎn)走餘額

　　如今許多消費(fèi)者出門不帶現(xiàn)金,習(xí)慣刷卡。在現(xiàn)場,一位選手演示了對大型POS機(jī)品牌盒子支付的攻破。他首先用一張他人的銀行卡完成一次刷卡交易,再用一張自己的銀行卡刷卡消費(fèi)。在此後的24小時之內(nèi),他就可以用自己的卡無限次消費(fèi)他人銀行卡上的餘額了。

　　還有一位比賽選手,在自始至終不接觸銀行卡本身的狀態(tài)下,將卡上的餘額轉(zhuǎn)出。他首先通過手機(jī)綁定第一大POS機(jī)品牌拉卡拉收款寶,通過手機(jī)劫持交易資訊,獲得了餘額資訊。然後再輸入任意密碼,就將餘額全部轉(zhuǎn)走。整個過程選手本身並未直接接觸該銀行卡,更沒有獲得該卡密碼。

　　充值1分錢O2O軟體就可“隨便用”

　　站在網(wǎng)際網(wǎng)路+的風(fēng)口,各類O2O服務(wù)已經(jīng)成為日常生活的一部分,一旦應(yīng)用存在安全風(fēng)險(xiǎn),不僅對用戶個人生活造成威脅,也威脅著平臺商的數(shù)據(jù)和資金安全。

　　一位比賽選手在現(xiàn)場成功演示了利用未知漏洞攻破“嘟嘟美甲”這一O2O的軟體系統(tǒng)。選手通過支付寶為“嘟嘟美甲”官方APP上一賬號充值,僅需實(shí)際支付1分錢,就向這一賬號內(nèi)充值任意金額。此外,e家潔、功夫熊、阿姨幫、微票兒等O2O服務(wù)平臺都被證明有類似漏洞。有觀眾當(dāng)場大呼“這也太不安全了”。

　　有趣的是,當(dāng)選手試圖當(dāng)場演示“e家潔”這一APP的漏洞時,發(fā)現(xiàn)官方關(guān)閉了雲(yún)服務(wù)。此前,大賽組委會通知了該公司當(dāng)天的賽事安排。最後,不得已換為“阿姨幫”,也順利完成攻破。

　　對此,支付寶方面立刻給出回應(yīng)稱,“經(jīng)我們的技術(shù)人員排查,原因是商家APP發(fā)送付款單據(jù)給支付寶應(yīng)用時,在商戶APP內(nèi)部被中間人劫持並篡改所致,跟支付介面無關(guān),並稱支付寶已第一時間聯(lián)繫該APP,並願意為其緊急修復(fù)提供幫助。”

　　華為、小米現(xiàn)場收到漏洞報(bào)告

　　在現(xiàn)場,選手還同時對華為榮耀4A手機(jī)、小米手機(jī)4C進(jìn)行獲取系統(tǒng)root許可權(quán)的操作,改變了兩部手機(jī)的開機(jī)動畫。評委説,這代表選手已經(jīng)攻破了兩部手機(jī)的最高root許可權(quán)。

　　據(jù)了解,華為、小米廠商的安全負(fù)責(zé)代表也提前接到大賽邀請,見證了當(dāng)天的攻破行動。挑戰(zhàn)賽結(jié)束後,他們第一時間接到了大賽組委會提交的漏洞報(bào)告,並立刻做出響應(yīng)、及時修補(bǔ)。對此,他們並沒有回避,並且指出:“問題被發(fā)現(xiàn)和解決得越早,産品越安全。”(文/本報(bào)見習(xí)記者 溫婧)