即便是小心翼翼的刷卡,你的銀行卡依然可能被“隔空”完整復制,然后你就在神不知鬼不覺下成了別人的銀行提款機,最關鍵的是,這樣的“科技偷盜”難度還不高!
在這個周末,全國各路黑客(白帽子)高手聚集上海, 在一場名為GeekPwn的黑客(白帽子)競技賽場上,那些原本只會在陰暗角落中進行的“黑科技”被曝露于光天化日之下,而更讓人驚悚的是,銀行卡盜刷、指紋密碼破解等,大部分就發生在我們身邊。
隔空偷走銀行卡
10分鐘不到,一張空白磁卡就成功“復制”成別人的銀行卡,不僅有真正的銀行卡號,還有密碼,只要被復制的銀行卡內有錢,空白磁卡就能隨意消費!而且這一切發生時,銀行卡主人完全沒有辦法發現!
破解原理
劫持POS機,抓到track與pin信息,并分析出明文磁道信息與明文密碼
利用分析出的磁道信息恢復出一張新的銀行卡
用新的銀行卡與分析出的明文密碼進行消費
攻破者:北京長亭科技首席研發工程師李醒涵
基本只花了一周時間就攻破了POS機,在技術難度上偏弱。
在日常生活中,黑客只要在POS機所在位置的十米之內安裝有干擾信號用的“竊取源”,不用與POS機直接物理接觸,只要有無線、藍牙、Wi-Fi、 3G 、4G,就能在神不知鬼不覺對POS機進行“監聽”,竊取任何在這臺機器上刷過的銀行卡的卡號、密碼。
Tips
這種不安全隱患同時適用于所有銀行的銀行卡,因為與銀行卡協議有關,目前沒有有效的防御手段。對于普通消費者而言,唯一的方法就是,不要亂刷POS機,尤其是那些看起來很單薄小巧的POS機。
繞開手機指紋驗證
被攻破后,任何人的指紋都可以解除手機鎖定,進入手機,如入無人之境,分分鐘就能完成支付寶轉賬。
攻破原理
在最新版手機上執行adb shell中的exploit
使所有的android指紋驗證全部失效
完成指紋解鎖、支付寶指紋轉賬
攻破者:北大計算機研究所博士丁羽
目前,這個手機指紋識別的漏洞只針對奇酷手機,操作簡便。其他安卓手機應該不存在類似漏洞。根據他掌握的信息,蘋果指紋的攻破難度非常高。目前,他們已經和360在溝通。
筆記本自動上傳隱私至指定服務器
帶有指紋識別認證的筆記本電腦,竟然可以成為竊取機主明文指紋圖片的“幫兇“,通過惡意程序,登陸時使用的指紋都會自動上傳到攻擊者服務器上。
攻破原理
使用系統內guest用戶賬號執行exploit
重啟系統
所有刷入的高清指紋(包括系統管理員的)均直接傳到遠程服務器上。
攻破者:北大計算機研究所博士 丁羽
可攻破的設備包括聯想幾乎所有帶有指紋的筆記本和平板電腦。
獲取智能攝像頭控制權
智能攝像頭的控制權限落入他人之手。不僅能被人竊取攝像頭內錄制的視頻、同時,也能通過攝像頭播放篡改音頻。
攻破原理
攻擊后,在選手的電腦上展示root權限的Shell
竊取攝像頭實時畫面或歷史視頻
遠程控制帶云臺的攝像頭運動
遠程控制帶聲音播放功能的攝像頭播放篡改的聲音
攻破者
根據現場演示,這一攻擊可涉及的智能攝像頭包括:小蟻智能攝像頭,小米生態鏈產品1.8.5.1F-K版本固件;中興小興看看智能攝像頭,固件v1.0.6~v1.0.8;聯想看家寶,最新固件v2.1.0.5900;喬安770MR-W 無線網絡監控攝像頭,沃仕達T7866WIP 網絡攝像機;凱聰 1303 720P百萬高清網絡攝像機;易視眼mini 10D 無線網絡攝像頭。
劫持無人機
一架大疆無人機在正常流程下起飛,卻很快不受控制,跟著某個神秘的場外遙控器飛行起來。
攻破原理
在合法控制終端安裝AR.FreeFlight2.0移動應用。
控制Parrot AirDrone2.0無人機懸浮至空中。
在樹莓派開發板上安裝一個無線攻擊工具,斷開合法控制終端和Parrot無人機之間的連接。
通過樹莓派遠程接管Parrot無人機,通過攝像頭操作無人機的飛行軌跡。
攻破者
他是利用無線劫持技術介入并獲取對大疆無人機的控制權,成功劫持無人機。
破解O2O用戶賬號權限
黑客可以進入到功夫熊的任意賬號內,擁有該賬號所有權限:包括擅自創建、取消訂單,得到用戶家庭地址等敏感信息,甚至偽裝成服務人員上門實施犯罪。
攻破原理
使用真實用戶進行攻擊演示,遠程登陸該賬號;
查看/取消訂單并獲得家庭地址等敏感信息;
如果賬號有余額則可消費余額。
