由安全团队KEEN主办的世界黑客大赛GeekPwn5澳门站5月12日落幕,在这次大赛中,TP-link、小米、荣耀、思科等主流路由器,大疆无人机及一些知名保险箱均被轻松攻破。南都记者在现场发现,大部分破解时间仅需5分钟左右。
“站在我们的角度,我们从来都说世界上没有绝对安全的产品。”KEEN创始人、GeekPwn大赛的发起创办人王琦解释本次活动的意义时表示,“消费者能做的其实并不多,我们其实是想督促厂商去修复他们的问题,因为修复他们的漏洞才是解决问题的关键。所以对消费者来讲,就像刚才我们展示的那些漏洞和攻击的情况,其实用户做再多的安全工作都没有用,一样可以进去。”
“所有的智能家居现在基本上不堪一击。”王琦告诉南都记者,目前的智能家居厂商主要考虑实用性,安全性其实做得还不够。比如今年的活动中,仅上午被攻破的八个产品有四个是路由器。“我们没要求选择什么产品攻破,选择路由器,或许是因为其是目前家居场景的总入口,某种程度上,其安全性能也是最好的。”王琦如是表示。
此次被攻破的路由器厂商包括T P-link、小米、荣耀、思科等。以T P-link举例,攻击者只需要将其电脑与路由器连在同一个W IFI中,就可以用程序对其攻击,获取其最高权限修改其D N S。而修改了D N S后,用户登录任何网站都可以被跳转到攻击者的钓鱼网站,在上面输入账号密码就有可能被窃取。
无独有偶,其他三个路由器攻击模式都同样在W IFI环境里进行。“尽量连一些我们熟知的W IFI,另外如果要做重要的工作,尽量不要用WIFI,采用3G、4G。”王琦如是表示。
这次黑客大赛被攻破的第一类产品就是所谓“云验证”保险箱。所谓“云验证”,就是手机在W IFI环境下连接保险箱,并进行绑定,每次验证key都和云端交互,每次都有随机数进行校验,并且有120秒失效的防护机制,这样避免用户“记密码”跟“带钥匙”的不便。
但实际上,只有连上网络就有被攻破的危险,攻击者选择“明得A PP云智能指纹识别手机W IFI保险箱”进行攻击,在同一个W IFI环境下,只要用户打开一次保险箱就可以获取其密码,甚至清除其指纹识别。
另一个用蓝牙连接的产品,SA FEO K防黑客保险箱则更加有趣。攻击者攻破后,可以修改其报警倒计时程序。“被攻破后,你的保险箱可能会半夜突然报警蜂鸣,并且打开,相当于把你的保险箱改成闹钟。”参赛者戏谑道。
主持人老鹰点评说,现在什么都说智能化,什么都连手机,但智能化就存在安全漏洞,“甚至不需要硬件,只用软件就可以轻松攻破,”老鹰说,其实现在许多厂商的安全方案都是使用通用方案,失去原来的安全价值,“还不如用钥匙更保险。”
采写:南都记者 蔡辉
