IT时报 -V4 新闻产业-
上一篇
下一篇
V4 新闻产业 下载阅读 下一版 上一版 |
4新闻产业
  • ·信不信,一副蓝牙耳机就能追踪你!
  • ·握紧芯片自研 中兴终端开启“第二段长跑”

信不信,一副蓝牙耳机就能追踪你!

GeekPwn 2021国际安全极客大赛关注万物互联时代的安全隐患

GeekPwn安全技术专家展示追踪场景

  

IT时报记者潘少颖
  如果酒店送餐机器人的外卖被“调包”,如果糖尿病人的胰岛素泵被“挟持”,如果蓝牙耳机成为跟踪器……如果这些都实现了,会有什么后果?
  上述场景虽然听上去匪夷所思,却真实地在GeekPwn 2021国际安全极客大赛上演。
  我们自认为的智能生活在黑客眼中异常脆弱,用GeekPwn(极棒)负责人杨泉的话说,“数字世界的攻防每天都在我们身边上演”。
被蓝牙耳机定位的你
  对普通人来说,蓝牙耳机意味着什么?手机的周边?或是听音乐的工具。
  在黑客眼里,蓝牙耳机也可能变成追踪器,也就是说,当你戴着蓝牙耳机听音乐的时候,不远处有人通过蓝牙耳机捕捉到你的位置了。“戴蓝牙耳机的人在XX路XX酒店附近。”随着电脑屏幕上显示出最终定位,腾讯安全玄武实验室的选手确定了蓝牙耳机的位置,经过戴蓝牙耳机的评委手机定位确认,两者位置一致。
  要把蓝牙耳机变成追踪器,需要做什么手脚?
  不需要接触到蓝牙耳机,在GeekPwn 2021现场,《IT时报》记者看到,主办方提供的一副蓝牙耳机和选手相距70米左右。选手用10分钟在这副蓝牙耳机中植入代码,当然,耳机佩戴者是感受不到变化的。
  该项目评委、极棒实验室安全研究员宋宇昊告诉《IT时报》记者,被植入代码时,耳机处在开机等待配对的状态,攻击者扫描到这个耳机,并与它配对连接,就能植入自己写的代码。
  由此,出现了上述一幕,当评委戴着这副被植入代码的耳机来到不为人知的某处,只要停留几分钟,便为选手提供了远程定位时机。这也意味着,蓝牙耳机已经被偷偷改装成一个“定位追踪器”连接到黑客的电脑,只要戴着耳机,足迹便在黑客那里一览无余,由此带来的危害是行动轨迹暴露、隐私曝光。
  一个很普遍的智能硬件,往往因为被忽视了其安全性而存在安全漏洞。在白帽子“大牛蛙”王琦看来,这是一种典型的把新技术应用到旧应用环境的黑客攻击。
  “这个项目主要展示了一种新的攻击模式:在蓝牙设备中植入代码,让它可以被追踪定位,目前选手证明了有若干款蓝牙耳机可以被攻击植入代码。”宋宇昊表示。
胰岛素泵被挟持事关上亿糖尿病患者
  他曾是一位“网瘾少年”,现在却用“网瘾”养活了自己。
  他叫曾颖涛,在一家搜索引擎公司无线安全部工作。“中国有超过一亿的糖尿病患者,希望更多的研究者关注到医疗器械领域。”在极棒大赛上,曾颖涛通过蓝牙侵入胰岛素泵的控制器,加大了注射剂量,用几秒钟将胰岛素全部推出。如果这种情况发生在现实中,病人的生命安全很有可能遭到严重威胁。
  GeekPwn 2021舞台上,放置着一台全新的胰岛素泵及控制设备,曾颖涛就站在几米开外,和蓝牙耳机一样,通过无接触式技术手段,劫持破解蓝牙通信协议,近场控制胰岛素泵。“一般在正常的蓝牙通信距离内即可,取决于环境的干扰度,大多数情况下在十米以内。”评委宋宇昊解释说。
  糖尿病人的命运已经掌握在“黑客”手中,“黑客”突破胰岛素泵原有注射限制,从胰岛素泵注射出的剂量突然加大,原本需要几个小时才能注射完成的胰岛素在一分钟内就注射完毕,抢夺了胰岛素控制器的权限,让控制器无法正常运行。“泵出来的时候,感觉心脏骤停,太可怕了。”一位现场白帽子惊呼。
  据《IT时报》记者了解,国内市场已出现了胰岛素泵可以搭载的数据传输软件管理系统,方便糖尿病患者注射胰岛素。在宋宇昊看来,这攻击一旦发生,直接影响生命安全,虽然发生的概率并不大,但也应该引起医疗领域的重视。
眨眼间,智能保险箱形同虚设
  最新款的智能保险箱一定万无一失吗?
  不一定!没有指纹和密码,打开它只需要1分钟。“这么快?”还没等大会主持人蒋昌建回过神,台上智能保险箱的门就打开了。此前,为了打破质疑,该保险箱密码由一位观众当场设立,而“黑客”只是在电脑上稍稍操作了几下。
  据了解,该品牌的保险柜号称采用银行密钥管理系统,在安全系数上具有较高的水准。看似“坚不可摧”的智能保险箱为何变成了“纸老虎”?
  远程打开智能保险箱的是数智科技物联网研究团队,通过控制芯片获取了智能保险箱最高控制权限,不论怎么重设密码,对他们来说都是形同虚设。
  随着万物互联的普及,芯片的应用越来越广泛,芯片的重要性也不言而喻,作为设备大脑,一旦底层芯片出问题,整个行业都会面临巨大风险,哪怕是号称最安全的保险柜硬盘,也难逃被攻破的噩运。记者手记
网络安全,要靠综合型人才
  漏洞,是每一次GeekPwn大赛的关键词,每一种智能产品被攻破,几乎都和漏洞有关。
  今年9月1日,《网络产品安全漏洞管理规定》正式实施,对网络产品的漏洞治理提出了更高的管理要求。比如如何验证漏洞真实性和影响程度、如何有效采取修补措施等,如果漏洞管理不到位、管理手段不得当,都将面临《规定》中所涉及的处罚措施。
  虽然网络安全提了这么多年,但身边不安全的事却屡有发生。
  在GeekPwn评委代表、腾讯安全玄武实验室负责人于旸看来,十几年前,整个市场上数字设备、智能设备的数量、品种、品牌、厂商和现在相比,要少几个数量级。“比如本来十款产品里面有八款有问题,现在降到十款产品里四款有问题。看上去降了很多,但整个市场上的产品数量涨了十倍,所以大家感觉安全问题还是不少。”
  数字世界扩张很快,需要更多的人去保卫数字世界的安全,所以也导致了对安全人才的需求扩张。据于旸透露,现在,网络安全人才的缺口每年大概有几十万人,这是一个世界性的问题。