發布時間:2019-5-29 分類: 電商動態
摘要:在名為GeekPwn的黑客(白帽)競賽中,原本只在黑暗角落的“黑色技術”暴露在光天化日之下,甚至更加震撼,銀行卡被盜,指紋密碼破解等等,大部分都發生在我們身上。
即使您小心刷卡,您的銀行卡仍可能完全復制,然后您將在不知情的情況下成為其他人的銀行取款機。最重要的是這種“技術盜竊”難度不高!
本周末,來自全國各地的黑客聚集在上海。在名為GeekPwn的黑客(白帽)比賽中,那些最初只在黑暗角落的黑白技術被暴露出來。在光明的一天,大多數銀行卡欺詐,指紋密碼破解等發生在我們身上更令人震驚。
隔空偷走銀行卡
不到10分鐘,空白磁卡就會成功。 “復制”到另一張銀行卡。它不僅有真實的銀行卡號,還有密碼。只要復制的銀行卡中有錢,空白磁卡就可以隨意消費!當發生這種情況時,卡片卡所有者無法找到它!
破解原理
劫持POS機,捕獲跟蹤和引腳信息,并分析純文本跟蹤信息和明文密碼
使用分析的曲目信息恢復新的銀行卡
花一張新的銀行卡和分析的明文密碼
斷路器:北京長汀科技首席研發工程師李興漢
只用了一個星期就突破了POS機,技術難度很小。
在日常生活中,只要有無線,藍牙,Wi-Fi,黑客只需要在POS機位置十米范圍內安裝干擾信號的“竊取源”,而無需與POS機直接物理接觸,3G,4G,你可以在不知情的情況下“搶購”POS機,竊取在這臺機器上刷過的任何銀行卡的卡??號和密碼。
Tips
這種不安全的隱患同時適用于所有銀行卡,因為沒有與銀行卡協議有效的防御。對于普通消費者來說,唯一的辦法就是不要弄亂POS機,尤其是那些看起來薄而小的POS機。
繞開手機指紋驗證
受到攻擊后,任何人的指紋都可以解鎖手機并進入手機。如果您進入無人環境,您可以在幾分鐘內完成支付寶轉賬。
攻破原理
在最新版本的手機上執行adb shell中的漏洞利用
使所有Android指紋驗證無效
完成指紋解鎖,支付寶指紋傳輸
斷路器:北京大學計算機研究所丁宇博士
目前,這款手機指紋識別漏洞僅適用于酷酷手機,操作簡便。其他Android手機應該沒有類似的漏洞。根據他所掌握的信息,Apple指紋的指紋識別非常困難。目前,他們已經在與360進行溝通。
筆記本自動上傳隱私至指定服務器
具有指紋識別認證的膝上型計算機可以用作指紋所有者的咒罵指紋圖像。惡意指紋會自動上傳到攻擊者的服務器。
攻破原理
使用系統中的來賓用戶帳戶執行漏洞利用
重啟系統
所有刷卡的高清指紋(包括系統管理員)都直接傳遞到遠程服務器。
斷路器:北京大學計算機研究所丁宇博士
易碎設備包括聯想幾乎所有帶指紋的筆記本電腦和平板電腦。
獲取智能攝像頭控制權
智能相機的控制落入了其他人的手中。人們不僅可以竊取相機中錄制的視頻,還可以通過相機篡改音頻。
攻破原理
攻擊發生后,具有root權限的shell將顯示在播放器的計算機上
竊取相機現場或歷史視頻
通過搖攝/傾斜遙控相機移動
通過聲音播放遠程控制相機以播放篡改聲音
攻破者
根據現場演??示,這次攻擊涉及的智能相機包括:小型螞蟻智能相機,小米生態鏈產品1.8.5.1FK版固件;中興小星看智能相機,固件版本v1.0.6~v1.0.8;聯想手表寶,最新固件v2.1.0.5900; JoAnn 770MR-W無線網絡監控攝像頭,Wostar T7866WIP網絡攝像頭;開聰1303 720P萬高清網絡攝像機;很容易看到迷你10D無線網絡攝像頭。
劫持無人機
一架大型無人機在正常流量下駛離,但很快就失去了控制,飛行時帶著一個神秘的異地遙控器。
攻破原理
在法定控制終端上安裝AR.FreeFlight 2.0移動應用程序。
控制Parrot AirDrone 2.0無人機漂浮在空中。
在Raspberry Pi開發板上安裝無線攻擊工具,以斷開合法控制終端與Parrot無人機的連接。
通過Raspberry Pi遠程接管Parrot無人機,并通過攝像機操作無人機的飛行路徑。
攻破者
他利用無線劫持技術干預和控制無人機無人機,并成功劫持了無人機。
破解O2O用戶賬號權限
黑客可以進入功夫熊的任何帳戶并擁有該帳戶的所有權利:包括未經授權的創建,取消訂單,獲取敏感信息(如用戶的家庭住址),甚至偽裝成服務人員犯罪。
攻破原理
使用真實用戶進行攻擊演示并遠程登錄該帳戶;
查看/取消訂單并獲取家庭住址等敏感信息;
如果帳戶有余額,則可以消耗余額。
