发布时间:2019-5-29 分类: 电商动态
摘要:在名为GeekPwn的黑客(白帽)竞赛中,原本只在黑暗角落的“黑色技术”暴露在光天化日之下,甚至更加震撼,银行卡被盗,指纹密码破解等等,大部分都发生在我们身上。
即使您小心刷卡,您的银行卡仍可能完全复制,然后您将在不知情的情况下成为其他人的银行取款机。最重要的是这种“技术盗窃”难度不高!
本周末,来自全国各地的黑客聚集在上海。在名为GeekPwn的黑客(白帽)比赛中,那些最初只在黑暗角落的黑白技术被暴露出来。在光明的一天,大多数银行卡欺诈,指纹密码破解等发生在我们身上更令人震惊。
隔空偷走银行卡
不到10分钟,空白磁卡就会成功。 “复制”到另一张银行卡。它不仅有真实的银行卡号,还有密码。只要复制的银行卡中有钱,空白磁卡就可以随意消费!当发生这种情况时,卡片卡所有者无法找到它!
破解原理
劫持POS机,捕获跟踪和引脚信息,并分析纯文本跟踪信息和明文密码
使用分析的曲目信息恢复新的银行卡
花一张新的银行卡和分析的明文密码
断路器:北京长汀科技首席研发工程师李兴汉
只用了一个星期就突破了POS机,技术难度很小。
在日常生活中,只要有无线,蓝牙,Wi-Fi,黑客只需要在POS机位置十米范围内安装干扰信号的“窃取源”,而无需与POS机直接物理接触,3G,4G,你可以在不知情的情况下“抢购”POS机,窃取在这台机器上刷过的任何银行卡的卡号和密码。
Tips
这种不安全的隐患同时适用于所有银行卡,因为没有与银行卡协议有效的防御。对于普通消费者来说,唯一的办法就是不要弄乱POS机,尤其是那些看起来薄而小的POS机。
绕开手机指纹验证
受到攻击后,任何人的指纹都可以解锁手机并进入手机。如果您进入无人环境,您可以在几分钟内完成支付宝转账。
攻破原理
在最新版本的手机上执行adb shell中的漏洞利用
使所有Android指纹验证无效
完成指纹解锁,支付宝指纹传输
断路器:北京大学计算机研究所丁宇博士
目前,这款手机指纹识别漏洞仅适用于酷酷手机,操作简便。其他Android手机应该没有类似的漏洞。根据他所掌握的信息,Apple指纹的指纹识别非常困难。目前,他们已经在与360进行沟通。
笔记本自动上传隐私至指定服务器
具有指纹识别认证的膝上型计算机可以用作指纹所有者的咒骂指纹图像。恶意指纹会自动上传到攻击者的服务器。
攻破原理
使用系统中的来宾用户帐户执行漏洞利用
重启系统
所有刷卡的高清指纹(包括系统管理员)都直接传递到远程服务器。
断路器:北京大学计算机研究所丁宇博士
易碎设备包括联想几乎所有带指纹的笔记本电脑和平板电脑。
获取智能摄像头控制权
智能相机的控制落入了其他人的手中。人们不仅可以窃取相机中录制的视频,还可以通过相机篡改音频。
攻破原理
攻击发生后,具有root权限的shell将显示在播放器的计算机上
窃取相机现场或历史视频
通过摇摄/倾斜遥控相机移动
通过声音播放远程控制相机以播放篡改声音
攻破者
根据现场演示,这次攻击涉及的智能相机包括:小型蚂蚁智能相机,小米生态链产品1.8.5.1FK版固件;中兴小星看智能相机,固件版本v1.0.6~v1.0.8;联想手表宝,最新固件v2.1.0.5900; JoAnn 770MR-W无线网络监控摄像头,Wostar T7866WIP网络摄像头;开聪1303 720P万高清网络摄像机;很容易看到迷你10D无线网络摄像头。
劫持无人机
一架大型无人机在正常流量下驶离,但很快就失去了控制,飞行时带着一个神秘的异地遥控器。
攻破原理
在法定控制终端上安装AR.FreeFlight 2.0移动应用程序。
控制Parrot AirDrone 2.0无人机漂浮在空中。
在Raspberry Pi开发板上安装无线攻击工具,以断开合法控制终端与Parrot无人机的连接。
通过Raspberry Pi远程接管Parrot无人机,并通过摄像机操作无人机的飞行路径。
攻破者
他利用无线劫持技术干预和控制无人机无人机,并成功劫持了无人机。
破解O2O用户账号权限
黑客可以进入功夫熊的任何帐户并拥有该帐户的所有权利:包括未经授权的创建,取消订单,获取敏感信息(如用户的家庭住址),甚至伪装成服务人员犯罪。
攻破原理
使用真实用户进行攻击演示并远程登录该帐户;
查看/取消订单并获取家庭住址等敏感信息;
如果帐户有余额,则可以消耗余额。
