黑客们让“科技偷盗”大白于天下:绕开手机指纹验证、劫持无人机都不在话下

摘要: 在一场名为GeekPwn的黑客(白帽子)竞技赛场上,那些原本只会在阴暗角落中进行的“黑科技”被曝露于光天化日之下,而更让人惊悚的是,银行卡盗刷、指纹密码破解等,大部分就发生在我们身边。

即便是小心翼翼的刷卡,你的银行卡依然可能被“隔空”完整复制,然后你就在神不知鬼不觉下成了别人的银行提款机,最关键的是,这样的“科技偷盗”难度还不高!

在这个周末,全国各路黑客(白帽子)高手聚集上海, 在一场名为GeekPwn的黑客(白帽子)竞技赛场上,那些原本只会在阴暗角落中进行的“黑科技”被曝露于光天化日之下,而更让人惊悚的是,银行卡盗刷、指纹密码破解等,大部分就发生在我们身边。

隔空偷走银行卡

10分钟不到,一张空白磁卡就成功“复制”成别人的银行卡,不仅有真正的银行卡号,还有密码,只要被复制的银行卡内有钱,空白磁卡就能随意消费!而且这一切发生时,银行卡主人完全没有办法发现!

破解原理

劫持POS机,抓到track与pin信息,并分析出明文磁道信息与明文密码

利用分析出的磁道信息恢复出一张新的银行卡

用新的银行卡与分析出的明文密码进行消费

攻破者:北京长亭科技首席研发工程师李醒涵

基本只花了一周时间就攻破了POS机,在技术难度上偏弱。

在日常生活中,黑客只要在POS机所在位置的十米之内安装有干扰信号用的“窃取源”,不用与POS机直接物理接触,只要有无线、蓝牙、Wi-Fi、 3G 、4G,就能在神不知鬼不觉对POS机进行“监听”,窃取任何在这台机器上刷过的银行卡的卡号、密码。

Tips

这种不安全隐患同时适用于所有银行的银行卡,因为与银行卡协议有关,目前没有有效的防御手段。对于普通消费者而言,唯一的方法就是,不要乱刷POS机,尤其是那些看起来很单薄小巧的POS机。

绕开手机指纹验证

被攻破后,任何人的指纹都可以解除手机锁定,进入手机,如入无人之境,分分钟就能完成支付宝转账。

攻破原理

在最新版手机上执行adb shell中的exploit

使所有的android指纹验证全部失效

完成指纹解锁、支付宝指纹转账

攻破者:北大计算机研究所博士丁羽

目前,这个手机指纹识别的漏洞只针对奇酷手机,操作简便。其他安卓手机应该不存在类似漏洞。根据他掌握的信息,苹果指纹的攻破难度非常高。目前,他们已经和360在沟通。

笔记本自动上传隐私至指定服务器

带有指纹识别认证的笔记本电脑,竟然可以成为窃取机主明文指纹图片的“帮凶“,通过恶意程序,登陆时使用的指纹都会自动上传到攻击者服务器上。

攻破原理

使用系统内guest用户账号执行exploit

重启系统

所有刷入的高清指纹(包括系统管理员的)均直接传到远程服务器上。

攻破者:北大计算机研究所博士 丁羽

可攻破的设备包括联想几乎所有带有指纹的笔记本和平板电脑。

获取智能摄像头控制权

智能摄像头的控制权限落入他人之手。不仅能被人窃取摄像头内录制的视频、同时,也能通过摄像头播放篡改音频。

攻破原理

攻击后,在选手的电脑上展示root权限的Shell

窃取摄像头实时画面或历史视频

远程控制带云台的摄像头运动

远程控制带声音播放功能的摄像头播放篡改的声音

攻破者

根据现场演示,这一攻击可涉及的智能摄像头包括:小蚁智能摄像头,小米生态链产品1.8.5.1F-K版本固件;中兴小兴看看智能摄像头,固件v1.0.6~v1.0.8;联想看家宝,最新固件v2.1.0.5900;乔安770MR-W 无线网络监控摄像头,沃仕达T7866WIP 网络摄像机;凯聪 1303 720P百万高清网络摄像机;易视眼mini 10D 无线网络摄像头。

劫持无人机

一架大疆无人机在正常流程下起飞,却很快不受控制,跟着某个神秘的场外遥控器飞行起来。

攻破原理

在合法控制终端安装AR.FreeFlight2.0移动应用。

控制Parrot AirDrone2.0无人机悬浮至空中。

在树莓派开发板上安装一个无线攻击工具,断开合法控制终端和Parrot无人机之间的连接。

通过树莓派远程接管Parrot无人机,通过摄像头操作无人机的飞行轨迹。

攻破者

他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。

破解O2O用户账号权限

黑客可以进入到功夫熊的任意账号内,拥有该账号所有权限:包括擅自创建、取消订单,得到用户家庭地址等敏感信息,甚至伪装成服务人员上门实施犯罪。

攻破原理

使用真实用户进行攻击演示,远程登陆该账号;

查看/取消订单并获得家庭地址等敏感信息;

如果账号有余额则可消费余额。 (本文作者章蔚玮,由IT时报授权钛媒体发布)

本文系作者 IT时报 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

IT时报
IT时报

中国最早的通信类媒体之一,50年以上传播历史。《IT时报》以敏锐视觉轻松解读城市数字化进程。微信号 / 易信号:vittimes

评论(12

  • braveqian braveqian 2016-01-17 17:16 via android

    大疆无人机起飞,被破解的是派诺特无人机,小编你在写什么?

    0
    0
    回复
  • 天远 天远 2015-11-09 08:33 via android

    小心为好,行事低调。

    0
    0
    回复
  • 小嘻嘻 小嘻嘻 2015-11-03 22:36 via pc

    科技改变生活,也能控制生活

    0
    0
    回复
  • jack123 jack123 2015-10-29 16:13 via pc

    黑客时代。关注我, 最新最全的营销资讯

    2
    0
    回复
  • 钛ApDhZg 钛ApDhZg 2015-10-28 14:11 via android

    好先进的样子。。

    0
    0
    回复
  • 钛peyn6Q 钛peyn6Q 2015-10-27 11:41 via pc

    信息时代,各种安全保障成为问题,信息泄露最为严重。

    0
    0
    回复
  • SmallSmart小智无人机 SmallSmart小智无人机 2015-10-27 10:31 via weibo

    有趣,有料,有态度,喜欢无人的已经关注我了可爱

    0
    0
    回复
  • 疯人院18床 疯人院18床 2015-10-27 09:00 via android

    便宜没有好货,好货不便宜啊,千元一下的指纹机没有差在硬件上,差在了技术上。

    0
    0
    回复
  • 疯人院18床 疯人院18床 2015-10-27 08:39 via android

    技术果然还是苹果的厉害,国内对软技术还是硬技术都没有过多的发掘。

    0
    0
    回复
  • 史涛 史涛 2015-10-27 08:23 via android

    没有绝对安全

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈