今天雷锋网编辑参加了一个很多漂亮妹子的黑客大会——XPwn,并且获得了一个神秘徽章。
卤鸡爪掐指一算,感觉事情没那么简单,果然,听了一圈下来发现了好多让人合不拢腿的演讲。
一条神秘链接
会议现场,由蚂蚁金服巴斯光年安全实验室安全专家曲和,超六带来的专题项目《为什么我的手机中多了个你》。据介绍,当这些智能手机用户在无意中接收并点击黑客发送的攻击性网页链接时,该链接便会自动启动,并在用户毫不知情的情况下,在其手机中强行装入预设的 APP。不仅如此,如果用户无意间通过浏览器访问了黑客准备好的恶意链接,手机也会被远程安装类似 APP。除了安装,连卸载黑客都能帮你了,只要点击黑客发给你的一条链接,APP 就木有了!
套路,都是套路。
更跪了的是连你的锁屏都不放过,只要在黑客在你的手机中预装上本地攻击APP并点击,实际上你设置的密码和指纹已被全部清空。相当于扒掉了手机的衣服,赤裸裸的暴露出来。
吓得雷锋网编辑摔了个机~
共享单车秒变“免费私人单车”
“共享单车锁厂很多,哪家实力最强?”
他们决定拿大面积铺了最大锁厂 Nokelock 新款智能马蹄锁的小黄练练手。
来自百度安全实验室的安全专家黄正和高树鹏通过一台便携信号嗅探设备,便轻松远程截获到了 ofo 单车的开锁密码,在分秒间将共享单车变成了无锁单车。不仅如此,黑客还将利用这台嗅探设备触发单车升级,在不接触单车的情况下刷入事先编辑好的固件,将单车变成被黑客永久占有且控制的私人坐骑。
围观群众目瞪狗呆,ofo 听了想骂人。
移动医疗APP上线,你的隐私还是安全吗?
移动医疗 APP 的主要功能分别是医疗服务,预约挂号,导诊、在线问诊等,因关乎国计民生这些信息当属隐私,而他们真的是安全的吗?
来自神州网云冰狐安全实验室的李立兵以《便民医疗APP还便利了谁?》为主题,分享了实验室检测到移动医疗 APP 中存在的安全问题。
无论是通过抓包获取用户注册验证码并修改注册信息,还是任意账号密码修改,以及任意用户信息获取,不安全的加密方式、敏感权限、暴露组建等安全问题都是导致其被黑客攻陷的因子。
然而,多数移动医疗 APP 还未有所担忧,甚至没有相关意识。
请问这是你的艳照吗?
艳照事件已经变成了现代生活的调味剂,时不时就来那么一场。然而这些照片是怎么流传出来的呢?如果我没有自己主动拍过这么隐秘的照片,会不会就是安全的呢?
长亭安全研究实验室的成员周智在现场就进行了攻击演示。
首先有请一位美女配合多摆几个姿势用微单拍几张照片。
照片是不会放出来的,甭想了~
首先要在微单相机上远程安装某些可以进行照片窃取的应用,这里有两种安装方式,一是将相机作为热点WiFi 远程安装,另一种是介入 WiFi 应用。安装完毕后远程打开恶意应用,无需任何操作用户刚刚拍摄的照片就已传到攻击者的电脑。
更可气的是,攻击者还可以控制界面,将刚刚拍的照片替换成攻击者修改的照片,比如……色情照片。这时候你想关机?
攻击者早就锁定了界面,除非相机拥有者进行刷机。
哼,逼人砸相机?
你的网络硬盘录像机,录给谁看?
在 IP 网络快速发展的迅猛势头下,视频监控行业进入全网络化时代成为必然。而作为网络化监控的核心产品 NVR(Network Video Recorder 即网络视频录像机),本质上逐渐显露出IT产品的特征。四维创智 CTO李敏选取安防监控设备NVR作为主要研究对象,分享了其脆弱性及隐患。
雷锋网了解到,NVR 的安全脆弱点可分为四类:应用安全问题、起动安全问题,部件安全问题,硬件安全问题。应用安全主要针对默认密码与密码策略。试想一下,假如设备有模拟密码而又不提示修改,用户可能因为懒癌晚期图省事不修改原始修改。而如果系统没有强密码策略,用户多会选择如123456这种简单密码。而硬件安全主要考察电路板直接暴露或暴露硬件接口的问题。
而在现场,李敏也演示了在不登陆任何账户情况下,控制三星NVR设备。包括新建新的帐号,控制识别录像,还可以安装木马。
虽然安全专家在演讲结尾也给出了相关安全建议,可仍是害怕有木有!
有人跟踪?到底藏在哪里!
出门不带表,枉为少年人。
假如你时尚时尚最时尚的 Ticwatch 手表竟变成监视工具,心塞塞的。
来自武汉大学 0718 团队的陈震杭就分享了他的研究。只要在系统中安装了恶意应用,其就能自动获取联系人列表且不需要任何设置自动获取权限。而这些权限可以帮助攻击者获取你的GPS定位数据,获取录音进行监听。
更可怕的是请神容易送神难,恶意应用一旦扎根了就不能被删掉。
这一届 XPwn2017 就在黑客们嬉笑怒骂,洒脱由人间落幕了,回过神时才又感觉一身冷汗。那些当时听起来很“爽”的议题如果换个人执行似乎就让人笑不出来了。
好的是,此次会上提到的相关漏洞,大会主办方将上报给相关企业对漏洞进行封堵。
最后,附上一些长腿妹子的照片给各位看官压压惊吧。
XPwn2017未来安全探索会由XCon组委会、北京未来安全信息技术有限公司联合主办,蚂蚁金服安全应急响应中心、百度安全共同支持。
你的网络硬盘录像机,录给谁看?