Zi 字媒體

一場美女雲集的黑客大會竟讓人驚出一身冷汗？

2021/12/25

XPwn，並且獲得了一個神秘徽章。

滷雞爪掐指一算，感覺事情沒那麼簡單，果然，聽了一圈下來發現了好多讓人合不攏腿的演講。

一條神秘鏈接

會議現場，由螞蟻金服巴斯光年安全實驗室安全專家曲和，超六帶來的專題項目《為什麼我的手機中多了個你》。據介紹，當這些智能手機用戶在無意中接收並點擊黑客發送的攻擊性網頁鏈接時，該鏈接便會自動啟動，並在用戶毫不知情的情況下，在其手機中強行裝入預設的 APP。不僅如此，如果用戶無意間通過瀏覽器訪問了黑客準備好的惡意鏈接，手機也會被遠程安裝類似 APP。除了安裝，連卸載黑客都能幫你了，只要點擊黑客發給你的一條鏈接，APP 就木有了！

套路，都是套路。

更跪了的是連你的鎖屏都不放過，只要在黑客在你的手機中預裝上本地攻擊APP並點擊，實際上你設置的密碼和指紋已被全部清空。相當於扒掉了手機的衣服，赤裸裸的暴露出來。

嚇得編輯摔了個機～

共享腳踏車秒變「免費私人腳踏車」

「共享腳踏車鎖廠很多，哪家實力最強？」

他們決定拿大面積鋪了最大鎖廠 Nokelock 新款智能馬蹄鎖的小黃練練手。

來自百度安全實驗室的安全專家黃正和高樹鵬通過一台便攜信號嗅探設備，便輕鬆遠程截獲到了 ofo 腳踏車的開鎖密碼，在分秒間將共享腳踏車變成了無鎖腳踏車。不僅如此，黑客還將利用這台嗅探設備觸髮腳踏車升級，在不接觸腳踏車的情況下刷入事先編輯好的固件，將腳踏車變成被黑客永久佔有且控制的私人坐騎。

圍觀群眾目瞪狗呆，ofo 聽了想罵人。

移動醫療APP上線，你的隱私還是安全嗎？

移動醫療 APP 的主要功能分別是醫療服務，預約挂號，導診、在線問診等，因關乎國計民生這些信息當屬隱私，而他們真的是安全的嗎？

來自神州網雲冰狐安全實驗室的李立兵以《便民醫療APP還便利了誰？》為主題，分享了實驗室檢測到移動醫療 APP 中存在的安全問題。

無論是通過抓包獲取用戶註冊驗證碼並修改註冊信息，還是任意賬號密碼修改，以及任意用戶信息獲取，不安全的加密方式、敏感許可權、暴露組建等安全問題都是導致其被黑客攻陷的因子。

然而，多數移動醫療 APP 還未有所擔憂，甚至沒有相關意識。

請問這是你的艷照嗎？

艷照事件已經變成了現代生活的調味劑，時不時就來那麼一場。然而這些照片是怎麼流傳出來的呢？如果我沒有自己主動拍過這麼隱秘的照片，會不會就是安全的呢？

長亭安全研究實驗室的成員周智在現場就進行了攻擊演示。

首先有請一位美女配合多擺幾個姿勢用微單拍幾張照片。

照片是不會放出來的，甭想了～

首先要在微單相機上遠程安裝某些可以進行照片竊取的應用，這裡有兩種安裝方式，一是將相機作為熱點WiFi 遠程安裝，另一種是介入 WiFi 應用。安裝完畢后遠程打開惡意應用，無需任何操作用戶剛剛拍攝的照片就已傳到攻擊者的電腦。

更可氣的是，攻擊者還可以控制界面，將剛剛拍的照片替換成攻擊者修改的照片，比如……色情照片。這時候你想關機？

攻擊者早就鎖定了界面，除非相機擁有者進行刷機。

哼，逼人砸相機？

你的網路硬碟錄像機，錄給誰看?

在 IP 網路快速發展的迅猛勢頭下，視頻監控行業進入全網路化時代成為必然。而作為網路化監控的核心產品 NVR(Network Video Recorder 即網路視頻錄像機)，本質上逐漸顯露出IT產品的特徵。四維創智 CTO李敏選取安防監控設備NVR作為主要研究對象，分享了其脆弱性及隱患。

了解到，NVR 的安全脆弱點可分為四類：應用安全問題、起動安全問題，部件安全問題，硬體安全問題。應用安全主要針對默認密碼與密碼策略。試想一下，假如設備有模擬密碼而又不提示修改，用戶可能因為懶癌晚期圖省事不修改原始修改。而如果系統沒有強密碼策略，用戶多會選擇如123456這種簡單密碼。而硬體安全主要考察電路板直接暴露或暴露硬體介面的問題。

而在現場，李敏也演示了在不登陸任何賬戶情況下，控制三星NVR設備。包括新建新的帳號，控制識別錄像，還可以安裝木馬。

雖然安全專家在演講結尾也給出了相關安全建議，可仍是害怕有木有！