人脸数据被悄然窃取,手机短信内容在不知不觉间被篡改,智能汽车被远程控制,在线视频被窃听——智能服务不断深入日常生活的同时,安全隐患也随之埋下。不过,只要及时发现漏洞,隐患就可以被及时消除。
“安全不是一个结果或状态,安全是一个目标,是一个持续改进、越来越安全的过程。”11月1日,北京启明星辰信息技术有限公司首席战略官潘柱廷在GeekPwn2022安全极客大赛暨颁奖典礼上表示。
在“让智能变得更安全,让安全变得更智能”的理念下,十余个参赛团队聚焦AI(人工智能)、车联网、机器人、在线办公等领域,在智能汽车近场解锁、窃听线上会议内容、破解充电桩云端接口等现实场景中与安全系统展开攻防竞赛,通过挖掘安全隐患为大众智能生活敲响警钟,助力产业健康稳固发展。
智能汽车安全是本次大赛的热门议题。潘柱廷表示,汽车从诞生起就和安全问题密切相关,智能汽车的数字化、智能化、网联化又为其带来了更多新的安全问题,对车厂提出了更高的要求。他呼吁,机场、商场等公共场所的网络环境提供者,承担起对自身Wi-Fi服务环境下可能存在的恶意Wi-Fi及钓鱼Wi-Fi进行检测和处置的责任,以防止不法分子入侵他人的手机等移动设备。
11月1日为GeekPwn2022安全极客大赛的最后一天,共设置了AI识人、智能汽车近场解锁及手机短信劫持与篡改三个议程。
面对处于停车、上锁状态的智能网联汽车,来自武影安全实验室的徐良军及罗丁挑战通过无接触式技术手段,利用汽车安全漏洞以车主无感知的方式解锁并启动目标车辆,再利用技术手段使汽车定位失效。
“参赛选手尝试在不和目标车辆发生物理接触的情况下对其进行控制,体现出我们现在面临的一种非常典型的车辆外部风险,也就是远程安全问题。”潘柱廷指出,“智能汽车已经进化到数字化、智能化、网联化的阶段,这给汽车带来了很多新的安全问题,智能汽车的无线电、网络连接、机械系统、软件系统,任何一个系统出了问题都会对车的安全产生非常严重的影响。”
来自NISL互联网安全研究小组的参赛选手杨雅儒、郑林楷则挑战利用钓鱼Wi-Fi拦截用户手机短信,篡改内容后再发送给短信接收者。在他们的演示中,运营商的安全系统未能完全发挥作用,两名参赛选手拦截了手机短信,并向接收者的手机发送了发件人显示为“IamGeek”的匿名短信。
对此,潘柱廷指出,短信在接收手机银行等App验证码的场景中,发挥着关键活动通信手段的作用,其安全问题不仅需要考虑手机本身,还有Wi-Fi的安全性问题。“作为安全从业者,我的习惯是不使用家里和公司之外的Wi-Fi,因为Wi-Fi的安全性是整个手机使用环节里比较薄弱的一项。”他提醒,当手机里有重要的App或者信息,最好不要连接不熟悉环境中的Wi-Fi。
值得注意的是,雷神战队的研究人员蔡致远、袁明坤、俞斌在比赛现场演示了破解ATM机系统进行取钞的过程。他们首先用电钻破坏ATM机摄像头前的盖板,从机体内部取出一根USB线,连接设备后调出了系统的命令输入窗口。选手输入命令后,ATM机内部传出了机械结构活动的声音,取钞口随后打开,一沓演示用的道具钞被从ATM机中取出。
对此,华为终端奇点安全实验室主任陈良评价道:“ATM机等设备出于方便维修的目的留出的调试端口也会被黑客利用,成为设备技术上的弱点。但在实际情况下,实施这样一种攻击需要对设备进行物理接触,而且会做出一些破坏性的干涉,现场的摄像头等报警装置就会及时发现这些行为。”
经过四天的角逐,光年虚拟化小分队、百变樱樱及芝麻开门三支队伍分获GeekPwn2022安全极客大赛年度冠、亚、季军。
采写:实习生梁丙鉴 南都记者蒋琳
