汽车、Surface、手机、PC,连机器人都不放过,你们太“丧心病狂”了!

汽车、Surface、手机、PC,甚至机器人,在HACKPWN2016安全极客狂欢节现场,安全极客们的现场破解秀看的挨踢妹一身冷汗。

你的车门可以随时被黑客打开,你的Surface可以被任意浏览,摄像头还被操控,如果你家里有个机器人,那么恭喜你,又多了一个被攻击的对象……

有些攻击则生命攸关,比如黑客们对于心脏起博器的攻击,在几秒钟之内可以杀死一个人!

Surface Pro破解秀
放过我的Surface

作为一款普及率比较高的平板设备,Surface安装的是最新的windows10操作系统,还是64位的。然而在安全极客陈雪斌的手中,在安全性上有了很大改进的最新windows10版本却是不堪一击。

“我们今天要演示破解的是最新的S1版本,通过浏览器远程控制这台设备。所以我们的入口是windows10上默认浏览器,Edge,它也被称为windows历史上最安全的浏览器,没有被真正的恶意软件利用过。我们的方式是通过Surface上面的浏览器访问攻击者电脑上面的网页,我们通过触发浏览器的漏洞去取得代码知情权限,通过代码漏洞,取得设备的最高权限。所以我们一共会用到两个未公开的漏洞。大家看看Surface屏幕,我们访问攻击者的页面,这边已经弹出文本表示我们已经破解成功了,看起来很快,但其实它执行了两套漏洞提权过程,并且在Surface上面安装了我们远程控制的软件。”

细思极恐,通过笔记本可以远程控制你的Surface,可以访问任何文件,包括打开它的摄像头这样的操作。Surface摄像头上拍摄的所有内容完全被别人获得,黑客可以完全掌握这台Surface设备上面最高的权限。

So,为了安全,不要在Surface里放一些不该放的东西……

汽车遥控滚动码破解秀
座驾也随时是别人的!

利用密钥生成机制的漏洞,你的汽车门可以轻易被打开,挨踢妹想想都觉得可怕……

“其中一个漏洞,密钥生成机制是有问题的。还有哪些漏洞?其实在验证汽车代码实现的时候也会发生漏洞。我们这个漏洞相对于国外对滚动码研究有个优势,我们发现这个漏洞,这个信号可以一直使用下去,国外那种攻击方式是它知道滚动码的工作原理,两个信号,第一个信号是正常信号,把第一个信号阻断掉,让汽车接收不到,用户很自然按第二次,把这两次路进来,这样的话汽车里面同步计数值小于第二个同步计数值,第二个还可以用,但只能用一次,我们这个可以连续用多次。”

这段话挨踢妹没有太听懂,但是听完估计大家都摸着自己的车钥匙一手冷汗,不过安全极客对座驾的安全是没有威胁的,至于黑客么,这个就不好说了。

现场还有360安全专家破解特斯拉的视频,想让车往前开就往前开,让倒车就倒车,挨踢妹要是坐在车里,小心脏铁定受不了......

智能机器人破解秀
机器人要“叛变”了吗?

如果你是一个科技爱好者,然后家里有一个乖巧可爱的机器人,那么恭喜你,又多了一个被攻击的对象。

据现场介绍,机器人语音交流的操作过程是,用户发送语音消息给机器人,机器人转化成文字,经过云平台运算处理,反馈给机器人,机器人再反馈给用户,看起来似乎没有谁什么明显的漏洞。但其中不无破绽。黑客可以直接从语音传输反馈的过程中将机器人破解,完成越权操作,对机器人的问答语义进行修改,原本机器人在听到用户说出你好后的回答是你好,主人。但经过修改,机器人的回答则变成这名黑客定义的内容:“欢迎在座的各位爸爸们来到国家会议中心。”现场观众都乐了。

不过挨踢妹觉得,控制机器人倒不会对普通人产生太大的影响,毕竟现在用机器人的不是特别多,因此看的很淡定。但下面的手机PC交叉攻击就看的挨踢妹胆战心惊了。

手机PC交叉攻击破解秀
手机莫名重启?可能是被攻击了!

如果你的手机莫名重启了,安全极客们告诉你,你的手机很可能被攻击了,而且,当你把受到攻击的手机连接到PC时,你的PC也会中招,简直防不胜防。

现场安全极客用两台手机两台PC演示了这个恐怖的过程。

现在桌面上有两台PC两台手机,其中一台手机是已经攻击过的,另外一个手机是干净的,PC也是干净的。将那台干净的手机与两台干净的PC连接,没有异常情况发生。已经被攻击过的手机,连接一台PC,这台手机对这台PC展开攻击以后,它会向PC植入攻击程序,攻击植入成功。

这种攻击方式不只是向PC攻击任何程序,同时包括加载内核驱动,针对平台是无关的,不仅攻击windows,还有其他的。把这台手机拔下,将那台干净的手机与刚刚被攻击过的PC进行连接,PC正在攻击这台手机,在攻击的过程中手机是没有任何反应的,等攻击完成之后手机会进入重启。

现在已经完成攻击,手机正在重启,一台完全干净的手机现在已经被攻击过,当这台被攻击过的手机再连接其他PC的时候,它就会主动向其他PC展开攻击。

破解面前,所有的东西,都不属于自己了......

(0)

相关推荐