注意了！你的共享單車賬號也許已經被黑客盯上了

共享腳踏車的賬號看起來也許不起眼，但黑客卻能從背後找到用戶的海量信息。

最近兩天，WanaCrypt0r 2.0勒索軟體的爆發震驚了全世界。截至5月13日，全球範圍內的90多個國家和地區都在這一波攻擊之中被波及。在國內，不少高校當中的計算機也出現了被攻擊的情況。有聲音甚至稱，這是比當年「熊貓燒香」更為令人棘手的一次計算機病毒事件。

這次病毒爆發的主要原因很大程度上在於微軟Windows系統中的漏洞。很多時候，安全意識不強的用戶往往會忽視一些漏洞的存在，一旦他們沒有針對這些系統漏洞採取及時的補救措施，黑客們自然很容易找上門來。

這正是知名安全團隊「KEEN」的CEO王琦所不願意見到的。在他的倡導下，自2014年起，KEEN團隊發起並主辦了世界黑客大賽GeekPwn，專註於破解科技產品。這是GeekPwn走過的第四個年頭，王琦說，在過往的大賽中，參賽的團隊已經發現並消除了許多本來有可能會發生的嚴重安全問題。

GeekPwn所關注的範圍也隨著科技潮流的走向而不斷擴展。最開始的時候，它們更為關注手機、電腦;而在近年，它們開始將目光投到更多樣的硬體產品上。在5月13日舉行的2017年GeekPwn年中賽上，共享腳踏車、智能家居、兒童手錶、最新款的智能手機等前沿產品都成為了黑客們破解的對象。

在賽事中，黑客們通過一些簡單的操作，就將人們眼中安全嚴謹的科技產品庖丁解牛般地破解。除了讚歎他們的高超技術之外，「不幸中槍」的企業們也需要好好地重新審視自身的產品安全設計水平。

四款共享腳踏車賬號被攻破

共享腳踏車出現安全問題已不常見，但在此前，更常見的問題是用戶因掃碼不慎而泄露個人信息。不過在這次的GeekPwn賽事中，一名女程序員卻用她的技術揭示了一些共享腳踏車品牌的系統漏洞。在她的演示下，用戶完全可以通過扣取其他賬號的資金從而實現免費騎車。

在現場，畢業於浙江大學計算機系的tyy就演示了她所發現的多款共享腳踏車系統的漏洞。被tyy選中的四個品牌分別是永安行、小鳴腳踏車、百拜腳踏車以及享騎腳踏車。

通過在電腦上的一番操作后，tyy獲取了主辦方提供的四個分別來自上述品牌的賬號信息，當中包括了行駛路徑、賬戶餘額等。

之後，她還通過遠程連線的方式展示了如何用這些賬號來開鎖腳踏車，並完成騎行。

除了這四個品牌之外，tyy表示，她也曾經在其他共享腳踏車中發現了類似的漏洞，其中還包括了摩拜這種市場佔比較大的品牌。「但是它們反應比較快，早上我發現了漏洞之後，晚上就修復了，」她告訴界面新聞。

儘管共享腳踏車賬號被攻破，帶來的經濟損失相對較小，但tyy認為，這些漏洞帶來的最大潛在危害在於用戶隱私，比如通過長期的觀察，用戶的住處或者辦公場所等信息會被泄露。

對此，評委們點評稱，希望這些共享腳踏車品牌的投資人可以好好關注一下這次GeekPwn大賽的結果，「這並不是一個門檻很高的bug，給了那麼多錢，連一個App都做不好，說不過去。」

思科也中槍

即便是思科這樣有著深厚技術積累的公司也難以完全防止漏洞。來自俄羅斯的George Nosenko就通過獲取最高許可權的方式破解了思科的交換機，並成功地修改了最高許可權用戶密碼。

被攻擊的後果在於，該名用戶的網路行為全部都落入了Nosenko的監控之中，Nosenko還可以藉此在用戶的電腦中任意植入文件。

Nosenko表示，通過掃描后，他發現全球範圍內共有超過25萬台思科設備的安全隱患都暴露在互聯網中，並有大約800萬缺陷設備埠開放，這些缺陷埠背後可能有數以億級的用戶。

因此，這一漏洞一旦被別有用心的黑客抓住，全球骨幹網路的安全都有可能受到影響。

王琦也表示，現在思科的漏洞已經很難被發現了;但是這次Nosenko發現了這樣一個比較嚴重的漏洞，而且能夠在短時間內破解，這有可能會引發嚴重的後果。

他希望，這次賽事結果的公開能夠讓思科這樣的大品牌了解到漏洞所在，並且儘快進行修復。

不觸碰就能打開智能門鎖

來自百度安全實驗室的兩名研究員謝海闊以及黃正在這次賽事中將目光放到了智能門鎖產品上。

隨著技術的發展，智能家居產品在近年的應用也越加廣泛，但安全問題始終是用戶所關心的重點。這次，兩位研究員用實際行動告訴大家，這些產品並沒有想象的那麼安全。

按照他們的介紹，這一破解過程是通過智能鎖網關不嚴謹的默認設置完成的。在這一漏洞下，任何人只要來到鎖的附近，就可獲得智能鎖網關設備的序列號。

之後，他們能夠通過逆向分析破解通信協議的完整性校驗演算法及密碼加解密演算法，實現向雲端伺服器發送偽造的請求，最終獲得密碼。在他們的演示下，果加智能門鎖在短短的幾秒內就被自動解開。

黃正表示，這一漏洞不僅僅適用於果加一個品牌，其他品牌也存在著同樣的問題。

他舉例稱，之前自己在剛發現這個漏洞的時候，曾經試著在自己所居住的小區中進行試驗，走了一圈后，他發現自己幾乎破解了所有鄰居的智能門鎖密碼。可見這個漏洞的廣泛性。

手機變身「殭屍」

在GeekPwn現場，騰訊玄武實驗室的兩名選手發現了一個智能手機上的漏洞，他們可以通過這一漏洞來遠程控制手機，從而從其他手機上盜取信息。

這一漏洞主要是通過修改核心固件來完成的，用戶在不知情的情況下一旦使用了被改動的應用，就有可能使得自己的手機被利用成為攻擊源，實現傳染式的自動傳播。

在現場，兩位選手就通過這種方式獲得了另一部手機上的照片。他們稱，以前的病毒都是通過網路連接的，但這次，最初的攻擊源不需要依靠互聯網。

選手之一的郭大興表示，在一定情況下，有可能用戶甚至不需要操作手機，也會被第三方控制;無論是安卓系統還是蘋果系統，這一漏洞都同樣適用。後續，他們也會將這一漏洞上報至相關廠商，來進行修復。

在人工智慧的應用日漸廣泛后，GeekPwn也開始關注起這一項技術的安全水平。在賽事中，王琦就表示，會在今年10月與上海和矽谷同步啟動人工智慧安全挑戰賽，並設下了500萬元的獎金池。

「我們希望能夠利用自己的技術，提前做一點事情，幫助人工智慧更好地發展。」王琦說。【責任編輯/楊雅倩】

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。

創客100創投基金成立於2015年，直通矽谷，專註於TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。