發(fā)布時(shí)間:2019-5-29 分類: 電商動態(tài)
摘要:在名為GeekPwn的黑客(白帽)競賽中,原本只在黑暗角落的“黑色技術(shù)”暴露在光天化日之下,甚至更加震撼,銀行卡被盜,指紋密碼破解等等,大部分都發(fā)生在我們身上。
即使您小心刷卡,您的銀行卡仍可能完全復(fù)制,然后您將在不知情的情況下成為其他人的銀行取款機(jī)。最重要的是這種“技術(shù)盜竊”難度不高!
本周末,來自全國各地的黑客聚集在上海。在名為GeekPwn的黑客(白帽)比賽中,那些最初只在黑暗角落的黑白技術(shù)被暴露出來。在光明的一天,大多數(shù)銀行卡欺詐,指紋密碼破解等發(fā)生在我們身上更令人震驚。
隔空偷走銀行卡
不到10分鐘,空白磁卡就會成功。 “復(fù)制”到另一張銀行卡。它不僅有真實(shí)的銀行卡號,還有密碼。只要復(fù)制的銀行卡中有錢,空白磁卡就可以隨意消費(fèi)!當(dāng)發(fā)生這種情況時(shí),卡片卡所有者無法找到它!
破解原理
劫持POS機(jī),捕獲跟蹤和引腳信息,并分析純文本跟蹤信息和明文密碼
使用分析的曲目信息恢復(fù)新的銀行卡
花一張新的銀行卡和分析的明文密碼
斷路器:北京長汀科技首席研發(fā)工程師李興漢
只用了一個(gè)星期就突破了POS機(jī),技術(shù)難度很小。
在日常生活中,只要有無線,藍(lán)牙,Wi-Fi,黑客只需要在POS機(jī)位置十米范圍內(nèi)安裝干擾信號的“竊取源”,而無需與POS機(jī)直接物理接觸,3G,4G,你可以在不知情的情況下“搶購”POS機(jī),竊取在這臺機(jī)器上刷過的任何銀行卡的卡??號和密碼。
Tips
這種不安全的隱患同時(shí)適用于所有銀行卡,因?yàn)闆]有與銀行卡協(xié)議有效的防御。對于普通消費(fèi)者來說,唯一的辦法就是不要弄亂POS機(jī),尤其是那些看起來薄而小的POS機(jī)。
繞開手機(jī)指紋驗(yàn)證
受到攻擊后,任何人的指紋都可以解鎖手機(jī)并進(jìn)入手機(jī)。如果您進(jìn)入無人環(huán)境,您可以在幾分鐘內(nèi)完成支付寶轉(zhuǎn)賬。
攻破原理
在最新版本的手機(jī)上執(zhí)行adb shell中的漏洞利用
使所有Android指紋驗(yàn)證無效
完成指紋解鎖,支付寶指紋傳輸
斷路器:北京大學(xué)計(jì)算機(jī)研究所丁宇博士
目前,這款手機(jī)指紋識別漏洞僅適用于酷酷手機(jī),操作簡便。其他Android手機(jī)應(yīng)該沒有類似的漏洞。根據(jù)他所掌握的信息,Apple指紋的指紋識別非常困難。目前,他們已經(jīng)在與360進(jìn)行溝通。
筆記本自動上傳隱私至指定服務(wù)器
具有指紋識別認(rèn)證的膝上型計(jì)算機(jī)可以用作指紋所有者的咒罵指紋圖像。惡意指紋會自動上傳到攻擊者的服務(wù)器。
攻破原理
使用系統(tǒng)中的來賓用戶帳戶執(zhí)行漏洞利用
重啟系統(tǒng)
所有刷卡的高清指紋(包括系統(tǒng)管理員)都直接傳遞到遠(yuǎn)程服務(wù)器。
斷路器:北京大學(xué)計(jì)算機(jī)研究所丁宇博士
易碎設(shè)備包括聯(lián)想幾乎所有帶指紋的筆記本電腦和平板電腦。
獲取智能攝像頭控制權(quán)
智能相機(jī)的控制落入了其他人的手中。人們不僅可以竊取相機(jī)中錄制的視頻,還可以通過相機(jī)篡改音頻。
攻破原理
攻擊發(fā)生后,具有root權(quán)限的shell將顯示在播放器的計(jì)算機(jī)上
竊取相機(jī)現(xiàn)場或歷史視頻
通過搖攝/傾斜遙控相機(jī)移動
通過聲音播放遠(yuǎn)程控制相機(jī)以播放篡改聲音
攻破者
根據(jù)現(xiàn)場演??示,這次攻擊涉及的智能相機(jī)包括:小型螞蟻智能相機(jī),小米生態(tài)鏈產(chǎn)品1.8.5.1FK版固件;中興小星看智能相機(jī),固件版本v1.0.6~v1.0.8;聯(lián)想手表寶,最新固件v2.1.0.5900; JoAnn 770MR-W無線網(wǎng)絡(luò)監(jiān)控?cái)z像頭,Wostar T7866WIP網(wǎng)絡(luò)攝像頭;開聰1303 720P萬高清網(wǎng)絡(luò)攝像機(jī);很容易看到迷你10D無線網(wǎng)絡(luò)攝像頭。
劫持無人機(jī)
一架大型無人機(jī)在正常流量下駛離,但很快就失去了控制,飛行時(shí)帶著一個(gè)神秘的異地遙控器。
攻破原理
在法定控制終端上安裝AR.FreeFlight 2.0移動應(yīng)用程序。
控制Parrot AirDrone 2.0無人機(jī)漂浮在空中。
在Raspberry Pi開發(fā)板上安裝無線攻擊工具,以斷開合法控制終端與Parrot無人機(jī)的連接。
通過Raspberry Pi遠(yuǎn)程接管Parrot無人機(jī),并通過攝像機(jī)操作無人機(jī)的飛行路徑。
攻破者
他利用無線劫持技術(shù)干預(yù)和控制無人機(jī)無人機(jī),并成功劫持了無人機(jī)。
破解O2O用戶賬號權(quán)限
黑客可以進(jìn)入功夫熊的任何帳戶并擁有該帳戶的所有權(quán)利:包括未經(jīng)授權(quán)的創(chuàng)建,取消訂單,獲取敏感信息(如用戶的家庭住址),甚至偽裝成服務(wù)人員犯罪。
攻破原理
使用真實(shí)用戶進(jìn)行攻擊演示并遠(yuǎn)程登錄該帳戶;
查看/取消訂單并獲取家庭住址等敏感信息;
如果帳戶有余額,則可以消耗余額。
« 搜狗惡意劫持百度交通罰款50萬司法首先確立回避原則 | 收集并報(bào)告自己!每天,5月21日的簡單時(shí)刻,夜間版本 »
周一周五 8:30 - 18:00
Copyright © 聊城開發(fā)區(qū)百川網(wǎng)絡(luò)服務(wù)有限公司 All Rights Reserved
百度統(tǒng)計(jì)客服QQ