现场 | 银行卡盗刷 偷指纹转账 黑客们让“科技偷盗”大白于天下

即便是小心翼翼的刷卡,你的银行卡依然可能被“隔空”完整复制,然后你就在神不知鬼不觉下成了别人的银行提款机,最关键的是,这样的“科技偷盗”难度还不高!

在这个周末,全国各路黑客(白帽子)高手聚集上海, 在一场名为GeekPwn的黑客(白帽子)竞技赛场上,那些原本只会在阴暗角落中进行的“黑科技”被曝露于光天化日之下,而更让人惊悚的是,银行卡盗刷、指纹密码破解等,大部分就发生在我们身边。

隔空偷走银行卡

10分钟不到,一张空白磁卡就成功“复制”成别人的银行卡,不仅有真正的银行卡号,还有密码,只要被复制的银行卡内有钱,空白磁卡就能随意消费!而且这一切发生时,银行卡主人完全没有办法发现!

破解原理
劫持POS机,抓到track与pin信息,并分析出明文磁道信息与明文密码
利用分析出的磁道信息恢复出一张新的银行卡
用新的银行卡与分析出的明文密码进行消费
攻破者
北京长亭科技首席研发工程师李醒涵

基本只花了一周时间就攻破了POS机,在技术难度上偏弱。

在日常生活中,黑客只要在POS机所在位置的十米之内安装有干扰信号用的“窃取源”,不用与POS机直接物理接触,只要有无线、蓝牙、Wi-Fi、 3G 、4G,就能在神不知鬼不觉对POS机进行“监听”,窃取任何在这台机器上刷过的银行卡的卡号、密码。
Tips

这种不安全隐患同时适用于所有银行的银行卡,因为与银行卡协议有关,目前没有有效的防御手段。对于普通消费者而言,唯一的方法就是,不要乱刷POS机,尤其是那些看起来很单薄小巧的POS机。

绕开手机指纹验证

被攻破后,任何人的指纹都可以解除手机锁定,进入手机,如入无人之境,分分钟就能完成支付宝转账。

攻破原理
在最新版手机上执行adb shell中的exploit
使所有的android指纹验证全部失效

完成指纹解锁、支付宝指纹转账

攻破者
北大计算机研究所博士 丁羽
目前,这个手机指纹识别的漏洞只针对奇酷手机,操作简便。其他安卓手机应该不存在类似漏洞。根据他掌握的信息,苹果指纹的攻破难度非常高。目前,他们已经和360在沟通。
笔记本自动上传隐私至指定服务器

带有指纹识别认证的笔记本电脑,竟然可以成为窃取机主明文指纹图片的“帮凶“,通过恶意程序,登陆时使用的指纹都会自动上传到攻击者服务器上。

攻破原理
使用系统内guest用户账号执行exploit
重启系统
所有刷入的高清指纹(包括系统管理员的)均直接传到远程服务器上

攻破者

北大计算机研究所博士 丁羽

可攻破的设备包括联想几乎所有带有指纹的笔记本和平板电脑。
获取智能摄像头控制权

智能摄像头的控制权限落入他人之手。不仅能被人窃取摄像头内录制的视频、同时,也能通过摄像头播放篡改音频。

攻破原理
攻击后,在选手的电脑上展示root权限的Shell
窃取摄像头实时画面或历史视频
远程控制带云台的摄像头运动
远程控制带声音播放功能的摄像头播放篡改的声音
攻破者
根据现场演示,这一攻击可涉及的智能摄像头包括:小蚁智能摄像头,小米生态链产品1.8.5.1F-K版本固件;中兴小兴看看智能摄像头,固件v1.0.6~v1.0.8;联想看家宝,最新固件v2.1.0.5900;乔安770MR-W 无线网络监控摄像头,沃仕达T7866WIP 网络摄像机;凯聪 1303 720P百万高清网络摄像机;易视眼mini 10D 无线网络摄像头。
劫持无人机

一架大疆无人机在正常流程下起飞,却很快不受控制,跟着某个神秘的场外遥控器飞行起来。

攻破原理
在合法控制终端安装AR.FreeFlight2.0移动应用。
控制Parrot AirDrone2.0无人机悬浮至空中。
在树莓派开发板上安装一个无线攻击工具,断开合法控制终端和Parrot无人机之间的连接。
通过树莓派远程接管Parrot无人机,通过摄像头操作无人机的飞行轨迹。
攻破者
他是利用无线劫持技术介入并获取对大疆无人机的控制权,成功劫持无人机。
破解O2O用户账号权限

黑客可以进入到功夫熊的任意账号内,拥有该账号所有权限:包括擅自创建、取消订单,得到用户家庭地址等敏感信息,甚至伪装成服务人员上门实施犯罪。

攻破原理
使用真实用户进行攻击演示,远程登陆该账号;
查看/取消订单并获得家庭地址等敏感信息;
如果账号有余额则可消费余额。
攻破者
此前,评委审核过技术,理论上是可以的,但现场演练的时,功夫熊临时更新了版本 所以现场的演示其实并没有成功。
但这至少警告我们,O2O的安全需要更加被关注,因为危害可能更大。
评论获赞最多者有奖拿
奖品是“球迷棒”,可观看英超全年380场赛事的直播与转播,插到电视机上就能看!
每周评论得赞数最多者,就能拿走“球迷棒”!杜绝刷赞,一经发现,取消资格。
快到文后评论吧
(0)

相关推荐