XPwn是由XCon组委会主办、北京未来安全信息技术有限公司承办的智能生活产品安全问题研究探索大会,已经举办过两届。
第一届XPwn 2016上,以“发现问题、解决问题”为理念,近十组团队展示了研究智能家居、手机、路由器、笔记本电脑等各类生活中流行设备暴露的安全问题以及可能造成的隐患,吸引了全球各地的安全专家、大批顶尖极客团队参加。
今年XPwn 2017推陈出新,在发现、解决问题之外,鼓励选手继续深入研究和挖掘,探索更好的安全机制措施并形成《安全白皮书》,能对促进不同行业的安全进步有所增益。
下边就让嘶吼编辑带大家进入现场,看看都有哪些可以长一大截安全见识的项目吧。
为什么我的手机中多了一个你!
Pwn选手:曲和、超六(蚂蚁金服巴斯光年安全实验室)
曲和、超六在现场向大家展示了对目前最热门几款Android手机的破解:用户点击某网页链接,攻击者即可获得用户设备的控制权限,可以安装恶意应用、静默卸载用户安装的应用以及清除手机锁屏密码和指纹密码。
共享单车≈无锁单车
Pwn选手:黄正、高树鹏(百度安全实验室XLab)
锁是共享单车最主要的防护手段,如果它失效了,单车公司对车的收费和管理就无从谈起。现在主流共享单车都使用智能锁来管理单车,相比物理密码锁,智能锁由云端管控开锁,安全性上提升不少。
但用上智能锁就够了么?百度安全实验室XLab的黄正、高树鹏表示:显然不是。他们研究市场上数款主流共享单车,发现均存在可任意控制车锁问题,进一步分析,这些单车原来都使用深圳某智能锁公司的产品,所以问题也基本雷同。
现场他们还对着一辆小黄车展示了破解过程,几分钟左右,演示车便脱离ofo官方控制,开锁密码失效,只有攻击者才能开锁。演讲者透露,这可能是第一个影响千万级单体设备的破解。
便民医疗APP还便利了谁
Pwn选手:李力兵(神州网云冰狐安全实验室)
医院上“网”,是当下不可逆的趋势。现在几乎每家医院都有自己的官网,有不少还开发了移动端应用,便于患者预约看病、查看病历信息等。
这些开发应用的医院懂安全吗?李力兵调研全国TOP100医院的APP,对移动医疗产品安全概貌进行了绘制。他从本地数据安全、数据传输方法和实现、代码保护、多方交互安全四个方面展开分析,发现医院行业相对安全意识要强于其他行业,过半应用使用了加壳、HTTPS、sign等手段。但在具体细节上,比如加密方式实现、验证码实现上存在不足,可以被监听、绕过等。李力兵还在XPwn上发布了《移动医疗APP安全白皮书》。
深夜窗帘自动打开,你会害怕吗?
Pwn选手:谈心、陈钧衍、张源(复旦大学系统安全攻防团队)
复旦大学系统安全攻防团队的谈心、陈钧衍、张源现场演示智能设备被破解的过程,比如智能窗帘、智能电饭锅等。具体的攻击细节是,攻击者通过重打包恶意软件或者窃取WIFI密码进入目标设备的局域网,即可发起攻击获得目标设备(支持JoyLink协议或BroadLink协议)的控制权。
请问这是你的艳照吗?
Pwn选手:周智(长亭科技安全实验室)
作为非主流智能设备,智能相机一直较少被安全圈关注,没想到XPwn上居然会出现一位文艺型的安全研究员,把它给搞了。
周智向观众们展示一台形似中了“想哭”勒索病毒的微单相机,他发现该品牌的智能微单产品存在一处缺陷,可以实现任意应用安装。他给自己的微单装了个木马,可以窃取、加密照片,还能劫持开屏界面,做出“想哭”的效果。
AI时代的智慧工作
演讲嘉宾:刘勇(AI百度负责人)
作为下午场首位嘉宾,刘勇讲的不是“Pwn”,而是防,如何利用AI技术让安全和用户体验更贴合。这也是XPwn的另一面:不止是提出问题,还会给出解决办法。
近几年,百度在AI上投入极大,它是如何实践AI+安全呢?刘勇分享了内部团队在生物识别认证上的探索,比如FaceKey、人脸闸机、人脸考勤、人脸支付等多种场景。
网络录像机,你要录给谁看?
Pwn选手:胡一米、李敏(四维创智)
提到录像机,大家可能较少见到,但这种设备在行业里应用非常广泛,使用监控摄像头的地方都能看到它。
四维创智的两位研究员分析了目前市场上主流品牌的录像机产品,发现里边不少产品都存在较严重安全隐患,像现场展示三星、Honeywell两家的产品,均可获取设备控制权限。他们还发布了录像机白皮书《安防监控NVR设备的脆弱点分析和隐患调研》,里边曝出了不少料,比如分析的设备里,有40%管理后台是空密码,网络内任何用户都可以登上。考虑到许多管理员都没有改密码的习惯,还是比较坑的。
你希望有人跟踪你吗?
Pwn选手:陈震杭(武汉大学计算机学院研究生)
随身戴的智能手表,忽然之间变成了跟踪监听利器,你会作何感想?
XPwn现场,陈震杭展示智能手表被攻击后的危害。他选取目前出货量较大的一款产品——Ticwatch,利用ROM漏洞绕过权限管理,从而实现在手表上安装恶意应用。
互联网金融APP信息安全依然堪忧
Pwn选手:何坤、庆骏凡(移动互联网系统与应用安全国家工程实验室)
把钱存进互金产品,是当下理财最常见的选择。一般来说,大家都会仔细研究各个平台的信誉度、年利率等指标,考察平台安全性的恐怕不多。
移动互联网系统与应用安全国家工程实验室的何坤、庆骏凡调研了市面上TOP100互金产品的APP,制作成《互联网金融APP安全白皮书》。他们总结目前互金APP主要存在数据传输、数据存储、密码算法与协议、APP代码保护、敏感信息泄漏五类问题,比如加密算法的不安全使用、网络传输保护不足、应用程序缺乏保护措施、本地文件及系统日志敏感信息泄露等。TOP100产品里几乎每个APP都存在不同程度的问题。
大数据承载未来智慧
演讲嘉宾:刘瑞宝(北京拓尔思信息技术股份有限公司)
业内常说,大数据是金矿、钻石矿,但怎么才能从大数据中挖掘出金子、钻石呢?
拓尔思是这方面的佼佼者,他们和政府合作,利用大数据挖掘技术破解了许多难题。比如通过关联、时空分析等手段,找出哪些公司有非法集资嫌疑,e租宝就是一例预警案例。他们还在警方破案、企业风险评估、威胁情报等方面有诸多研究。
最后
一整天的研究探索大会,至此告一段落。
参会过程中,嘶吼编辑听到有人说,看到这么多知名品牌的产品都存在安全问题,感觉心好慌,世界很可怕。其实不用过度担心,至少现在发现的都是正义的安全研究员,而非地下黑产。在XPwn上演示的同时,发现的漏洞均已报告给厂商或者国家漏洞通报单位,厂商也会马上进行修补。
XPwn提供的是一个安全问题展示、探讨、修补、教育的平台,安全研究者在舞台上展示自己的研究成果,厂商接收自家产品的漏洞以及可行的修补方案,大众则通过安全问题披露加强防范意识。
明年的XPwn,大家期待什么项目或环节呢?可以在文末留言给我们向主办方反馈哦。
