GeekPwn 今年在腾讯深度介入之后,会场布置和活动内容比去年明显更丰富。今年虽然攻击的目标(Nest、Tesla 和遥控跳蛋等)不像去年(得益于 Google 的支持)那么科幻,但更贴合实际生活。
谁的无人机
开场 Show 分为三桌挑战,黑客老鹰、教主于扬、从 360 退休炒股的袁哥、清华诸葛建伟等知名安全专家都参与担任现场评审。
其中二号桌的首个项目主要演示攻击者在不接触控制器的情况下,通过劫持遥控器指令,控制无人机起降并飞至制定地区,攻击目标为大疆 Phantom 3。
你的卡还是你的卡
三号桌的挑战者演示的内容为:在同一局域网环境下,一旦被攻击者在 Android 手机上调用支付宝或银联应用/安全支付插件在饿了么、一号店、嘟嘟美甲等应用中支付时,收款方信息可能被篡改。用户支付之后无法完成订单,但款项已经转到攻击者账户。
你的钱不一定是你的钱
同样是支付,下下终端也不能幸免。一号桌挑战者演示了当被攻击者在拉卡拉或盒子支付 POS 机完成支付后,攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。期间,手机应用和移动终端的手写签名功能并未识别出伪造者。
长亭科技(蓝莲花 CTF 战队)也参与到本届 GeekPwn 开场秀,演示劫持常见的家庭智能摄像头,包括监控内容,控制摄像头转向等。
(P.S 题图是这次 GeekPwn 的胸卡,和 Pwn2Own 等安全会议一样,参会者可以通过 microUSB 尝试解开胸卡中的谜题,另外,本届会议比赛的冠军名称会闪现在每一张胸卡上。)