黑客们让“科技偷盗”大白于天下:绕开手机指纹验证 劫持无人机
|
摘要: 在一场名为GeekPwn的黑客(白帽子)竞技赛场上,那些原本只会在阴暗角落中进行的“黑科技”被曝露于光天化日之下,而更让人惊悚的是,银行卡盗刷、指纹密码破解等,大部分就发生在我们身边。
即便是小心翼翼的刷卡,你的银行卡依然可能被“隔空”完整复制,然后你就在神不知鬼不觉下成了别人的银行提款机,最关键的是,这样的“科技偷盗”难度还不高! 在这个周末,全国各路黑客(白帽子)高手聚集上海, 在一场名为GeekPwn的黑客(白帽子)竞技赛场上,那些原本只会在阴暗角落中进行的“黑科技”被曝露于光天化日之下,而更让人惊悚的是,银行卡盗刷、指纹密码破解等,大部分就发生在我们身边。 隔空偷走银行卡 10分钟不到,一张空白磁卡就成功“复制”成别人的银行卡,不仅有真正的银行卡号,还有密码,只要被复制的银行卡内有钱,空白磁卡就能随意消费!而且这一切发生时,银行卡主人完全没有办法发现! 破解原理 劫持POS机,抓到track与pin信息,并分析出明文磁道信息与明文密码 利用分析出的磁道信息恢复出一张新的银行卡 用新的银行卡与分析出的明文密码进行消费 攻破者:北京长亭科技首席研发工程师李醒涵 基本只花了一周时间就攻破了POS机,在技术难度上偏弱。 在日常生活中,黑客只要在POS机所在位置的十米之内安装有干扰信号用的“窃取源”,不用与POS机直接物理接触,只要有无线、蓝牙、Wi-Fi、 3G 、4G,就能在神不知鬼不觉对POS机进行“监听”,窃取任何在这台机器上刷过的银行卡的卡号、密码。 Tips 这种不安全隐患同时适用于所有银行的银行卡,因为与银行卡协议有关,目前没有有效的防御手段。对于普通消费者而言,唯一的方法就是,不要乱刷POS机,尤其是那些看起来很单薄小巧的POS机。 绕开手机指纹验证 被攻破后,任何人的指纹都可以解除手机锁定,进入手机,如入无人之境,分分钟就能完成支付宝转账。 攻破原理 在最新版手机上执行adb shell中的exploit 使所有的android指纹验证全部失效 完成指纹解锁、支付宝指纹转账 攻破者:北大计算机研究所博士丁羽 目前,这个手机指纹识别的漏洞只针对奇酷手机,操作简便。其他安卓手机应该不存在类似漏洞。根据他掌握的信息,苹果指纹的攻破难度非常高。目前,他们已经和360在沟通。 笔记本自动上传隐私至指定服务器 带有指纹识别认证的笔记本电脑,竟然可以成为窃取机主明文指纹图片的“帮凶“,通过恶意程序,登陆时使用的指纹都会自动上传到攻击者服务器上。 攻破原理 使用系统内guest用户账号执行exploit 重启系统 所有刷入的高清指纹(包括系统管理员的)均直接传到远程服务器上。 攻破者:北大计算机研究所博士 丁羽 可攻破的设备包括联想几乎所有带有指纹的笔记本和平板电脑。 获取智能摄像头控制权 智能摄像头的控制权限落入他人之手。不仅能被人窃取摄像头内录制的视频、同时,也能通过摄像头播放篡改音频。 攻破原理 攻击后,在选手的电脑上展示root权限的Shell 窃取摄像头实时画面或历史视频 远程控制带云台的摄像头运动 远程控制带声音播放功能的摄像头播放篡改的声音 攻破者 根据现场演示,这一攻击可涉及的智能摄像头包括:小蚁智能摄像头,小米生态链产品1.8.5.1F-K版本固件;中兴小兴看看智能摄像头,固件v1.0.6~v1.0.8;联想看家宝,最新固件v2.1.0.5900;乔安770MR-W 无线网络监控摄像头,沃仕达T7866WIP 网络摄像机;凯聪 1303 720P百万高清网络摄像机;易视眼mini 10D 无线网络摄像头。 劫持无人机 一架大疆无人机在正常流程下起飞,却很快不受控制,跟着某个神秘的场外遥控器飞行起来。 攻破原理 在合法控制终端安装AR.FreeFlight2.0移动应用。 控制Parrot AirDrone2.0无人机悬浮至空中。 在树莓派开发板上安装一个无线攻击工具,断开合法控制终端和Parrot无人机之间的连接。 通过树莓派远程接管Parrot无人机,通过摄像头操作无人机的飞行轨迹。 攻破者 他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。 破解O2O用户账号权限 黑客可以进入到功夫熊的任意账号内,拥有该账号所有权限:包括擅自创建、取消订单,得到用户家庭地址等敏感信息,甚至伪装成服务人员上门实施犯罪。 攻破原理 使用真实用户进行攻击演示,远程登陆该账号; 查看/取消订单并获得家庭地址等敏感信息; 如果账号有余额则可消费余额。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号