网络安全“惊天陷阱”?小米智能家居被曝可操控 首届XPwn绝密看点曝光
8月31日,首届黑客大赛XPwn在北京成功举行。作为全球首个关注智能安全、家居领域的全球性赛事,XPwn云集了智能硬件厂商、全球知名黑客以及顶尖实验室的一流选手,吸引了来自全国乃至全球数百名黑客参会。...
8月31日,首届黑客大赛XPwn 在北京成功举行。作为全球首个关注智能安全、家居领域的全球性赛事,XPwn云集了智能硬件厂商、全球知名黑客以及顶尖实验室的一流选手,吸引了来自全国乃至全球数百名黑客参会。
Black Hat与 DEF CON 安全大会创始人Jeff Moss也空降现场。
“XPwn未来安全探索盛会”由XCon(安全焦点信息安全技术峰会)主办,旨在吸引国内外一流极客发现并解决智能设备上的安全漏洞,以推动厂商及时修正问题,提高产品质量。
小米智能网关可被操控
在黑客圈的“华山论剑”上,自动贩卖机、路由器、小米网关等主流智能硬件产品都被XPwn选手一一攻破。
小米的智能硬件生态包含多个智能设备,如智能插座、多功能网关、智能净水器、智能电饭煲等。为便于管理,基于Marvell(美满电子)的智能解决方案,小米为这些产品设计了一整套基础协议框架,统一实现设备接入、数据传输与控制管理。
这就相当于所有门都有一把万能钥匙,而选手发现这把万能钥匙存在瑕疵,可以利用其中一环存在的漏洞,攻击所有这些硬件。
现场,资深安全专家谢君现场演示了远程直接攻破小米网关。
正常情况下,如果离家,打开小米网关进入警戒模式,一旦有人进入家里,手机就会收到报警。但是,在被谢君攻破后,小米网关不仅没有报警,还被恶意植入了固件,记录下设备的信息。
更重要的是,网关记录下的用户出入、离家信息也会被窃取。
神马意思?
就是说
你神马时候在家
神马时候家里没人
别人都一!清!二!楚!
打破业内“惯例” 首创先补漏洞再破解
与其他黑客大会不同的是,XPwn的所有破解项目在发布会前就会告知到厂商,从而给厂商修复、升级的时间,保证公布后的漏洞不会被其他有心人利用。现场,小米智能硬件平台研发总监殷明君现场也积极回应,并表示已经修复该漏洞,用户进行固件升级后就能堵住这个漏洞。
xPwn旨在吸引国内外一流的极客、黑客发现并解决智能设备上存在的安全问题,推动厂商及时修正问题,更加重视安全问题,探索更好的安全解决办法,从而提高产品安全质量。
“这也就是我们组委会一直宣扬的,不仅要发现问题,更要解决问题。在发现问题、解决问题之后,我们还希望选手能够在破解突破的同时探索更深层次的技术发展,在突破中进行创新,将技术研究研究发展到极致,创造更大更多的新价值。”XPwn创始人王英键表示。
现场,参赛选手还成功破解了索尼、小米、西门子等多个智能硬件,并根据赛制要求第一时间将破解路径和解决方案提供给了相应厂商。
互联网的发展让人们的生活更便利,但与此同时,安全的重要性也愈来愈大。
几天前,山东临沂女孩被骗事件让不少人痛心疾首。XPwn上,创始人王英键致辞时表示,“这个世界是一个危险的地方,不是因为那些邪恶的人,而是无动于衷的我们!”
他呼吁黑客们要站出来,团结起来,一起对抗网络地下黑产,利用自身所学来保护网络及数据安全,保护民众安全。“XPwn更关注的不是发现隐患,而是消除隐患。XPwn希望通过这样的活动,联合极客圈的力量,为网络安全护航。”
作为知名厂商,蚂蚁金服安全产品技术部负责人冯春培先生也表示认同。“新的时代下产生了新的犯罪模式,到底未来安全是什么?是以什么形态存在,危险来自于哪里,确实是需要我们整个安全圈里的朋友探索的。”他说,希望XPwn在这个方向上做出很正向的贡献,使得全社会越来越多关注自身的安全,让生活更安全。
XPwn中的“Pwn”发音类似“砰”,在极客文化中是指找到硬件或软件的漏洞:“Pwn”的一声,设备或系统被攻克。
关注 全球IT资讯
微信扫一扫关注公众号
