特斯拉3.5万美金重赏“到此一游”华裔黑客,这样的硬核团队中国也有……
即便有取餐码,酒店送餐机器人送来的就一定是你的外卖吗?答案是否定的。你的外卖很可能已被远程“调包”;同样,你的胰岛素泵也可能被暗中“挟持”,泵中药液可能慢出,也可能以正常速率5倍的速度注射,致人昏迷、休克甚至死亡;还有你戴的蓝牙耳机,音乐突然中断几秒,随后又恢复正常,如此诡异的停顿,很可能是被黑客改装成了“跟踪器”,从而对你的行动轨迹精准监控……https://p5.toutiaoimg.com/large/pgc-image/SmzNU0430uN1gS
蓝牙耳机成“跟踪定位器”。
https://p5.toutiaoimg.com/large/pgc-image/SmzNU0gEdZa73w
胰岛素泵注射速度可被远程篡改。
生活中越来越多的智能设备,在带来便利舒适的同时,却也隐藏着安全风险。近期,汇集全国20组顶尖安全“极客”团队的GeekPwn 2021极棒之夜在上海举行,极客团队现场预演了产业、智能生活中易被忽略的安全漏洞,令在场观众“细思极恐”。
蓝牙耳机成跟踪器,打印机被挟持篡改
未知攻,焉知防,网络安全的本质是攻防两端能力的对抗。在极棒之夜,记者现场感受了极客知攻知防的力量。
比如,当下“AI换脸”风波不断,一套基于Deepfakes(深度伪装)的技术,将“换脸”难度降为民用级,只需几张照片或几段视频,就可通过简单操作实现“换脸”,且画面毫无违和感。但也有人将此技术运用于制作虚假视频、虚假新闻,并进行敲诈勒索。所幸,AI能造假,亦能打假。在“AI鉴定师”项目中,“WE_Team”战队利用AI技术,在15分钟内判断了500段视频,正确识别了其中394段视频,获得了78.8%的准确率,这一识别准确率并不亚于全球领先水平。
https://p26.toutiaoimg.com/large/pgc-image/SmzNU1V3g561Br
“AI换脸”,特朗普也中招。
https://p26.toutiaoimg.com/large/pgc-image/SmzNU2FIspWIRU
极客选手现场识别虚假视频。
来自腾讯安全玄武实验室的三位选手,则对蓝牙耳机发起挑战。让现场观众震惊的是,选手检测到50米外戴着蓝牙耳机的目标人物后,无接触式地将定位功能植入对方耳机,用时仅数十秒,耳机由此成了跟踪定位器。玄武实验室团队告诉记者,他们已向耳机生产方反馈了这一漏洞,但研究发现,极客们用以实现定位的基础原理是众包定位网络技术,这一技术本身存在天然漏洞且难以修复。因此,团队目前能给到蓝牙耳机用户的建议是——尽可能更新到最新版本。
https://p26.toutiaoimg.com/large/pgc-image/SmzNU30c6sHz1
https://p5.toutiaoimg.com/large/pgc-image/SmzNUfwE2vQ1qD
https://p6.toutiaoimg.com/large/pgc-image/SmzNUgXFXeDFT5
戴着蓝牙耳机的目标即便开出数公里远,其定位仍被精准跟踪。
参赛团队TQL原本盯上了共享单车ofo的安全漏洞,他们可以通过网络远程操控,轻而易举地打开单车锁。不过,团队没料到,ofo已退出市场,极客们随即又将目光转移到了共享汽车上。他们调研了41家自助租车企业,发现其中使用数字钥匙的有16家。只要获得车牌号码,TQL团队便可跨越地理限制,远程攻击、破解共享汽车的数字钥匙,对汽车进行解锁、开关车窗和空调等一系列操作。如果有用户在车内不做任何动作,汽车却突然自己鸣笛,这八成就已被黑客远程控制了。
https://p5.toutiaoimg.com/large/pgc-image/SmzNUhVB6gdJQL
https://p9.toutiaoimg.com/large/pgc-image/SmzNUhzCMaczBf
https://p5.toutiaoimg.com/large/pgc-image/SmzNUiWHiQ0lQF
极客选手可远程监听车内声音。
据记者了解,极客TQL团队的技术硬核程度,可参考特斯拉的一笔重赏。2019年,华裔黑客团队“Flouroacetate”参加了在温哥华举行的“世界黑客大赛Pwn2Own”,两位计算机安全研究员在特斯拉Model3的网络浏览器中找到一处漏洞,得以进入Model3汽车计算机系统,并在车内仪表显示屏上留下“到此一游”。因为找到这一漏洞,黑客团队得到了特斯拉3.5万美元奖金及一部同款车。
https://p6.toutiaoimg.com/large/pgc-image/SmzNVAqIecMdcR
https://p5.toutiaoimg.com/large/pgc-image/SmzNVBQ34beyvW
办公室内也有“防不胜防”。许多公司在网络和电脑终端安全上层层设防,却忽略了打印机。比赛中,“天工实验室”团队极客在接入指定企业内网的条件下,控制该企业的打印机云平台,并植入代码。完成植入后,成员离开内网环境,利用该代码远程查看打印任务列表,并完成“获取并修改指定的目标打印文件”这一任务。此举产生的结果是,公司重要项目合同在打印前虽被认真校对多次,但最终打印后发现,账户和金额内容已被篡改。这一漏洞被发现的难度,以及技术本身的挑战性,使得在场评委一致给出高分,“天工实验室”战队最终披上第一名战袍。
https://p9.toutiaoimg.com/large/pgc-image/SmzNVC8AOAAFCO
科技向善,网络安全要与AI产业同步推进
科技向善。据悉,GeekPwn比赛结束后,主办方会将具体的漏洞细节提交给厂商,协助厂商进行修补。
GeekPwn自2014年创办以来,已在北京、上海、澳门、香港和硅谷、拉斯维加斯等多地举办,挖掘上千名安全人才,同时负责任地披露了数百个高危漏洞。
当下,人工智能产业发展迅猛,但如果为其配套的网络安全产业的发展步伐无法跟上,反过来会影响人工智能产业发展速度。好比特斯拉之所以要重赏帮助找出漏洞的黑客,是因为如果不补上这一安全漏洞,消费者就不会为一个有瑕疵甚至有重大安全隐患的产品埋单。
https://p5.toutiaoimg.com/large/pgc-image/SmzNVEiIjw0Dr5
根据咨询机构赛迪公司的研究,2021年中国网络安全产业规模预计将超过900亿元。汹涌的产业发展中,也面临人才紧缺难题。GeekPwn负责人杨泉介绍,今年,GeekPwn引入线上综艺形式,打造了全国首档极客真人秀节目。“以往属于网络安全圈线下狂欢的攻防秀,首次被搬到屏幕前,推向非专业领域人群。这一方面提示广大用户避免遭受信息泄露和财产损失,同时也能吸引更多青少年加入极客战队,为网络安全技术的进步与发展夯实人才基础。”
https://p26.toutiaoimg.com/large/pgc-image/SmzNVFP4nZLWrp
GeekPwn发起人之一、人称“TK教主”的于旸,是国内顶尖白帽黑客之一,曾任2008年奥运会信息网络安全指挥部技术专家。他告诉记者,公众其实不必过于惊慌,尽管网络安全问题的绝对数量在增加,但总体问题的“浓度”在降低,即存在网络安全问题的产品,已从过去的70%-80%,下降到了目前的40%左右。
栏目主编:李晔 文字编辑:李晔
来源:作者:李晔
页:
[1]