钱江晚报 数字报纸


a0012版:科教·科学

找出最新安卓系统的漏洞,又能远程控制别人的汽车

顶级黑客昨日分享最新“黑动作”

钱报记者向黑帽子现场讨教:怎么做才能保护自己的信息安全

  有这样一群人,兼具吸血鬼与灰姑娘的人格特质。他们钻尽牛角尖挑这个世界的刺儿,直到真的如他们所料发现了问题;他们又勤奋温驯,如灰姑娘一样受到神仙教母的眷顾,飞上枝头当凤凰,年纪轻轻就已举世闻名。

  这两种令人又爱又恨的矛盾性格,非但没有搞得他们精神分裂,相反,与他们的机体相得益彰,使他们成为全世界最有价值的人群之一。

  他们是一群“黑帽子”。

  北京时间8月7日凌晨,2014世界黑帽子大会在美国拉斯维加斯召开,全世界1万颗聪明大脑济济一堂。黑客们把这一年来废寝忘食发现的各种信息安全领域的“不完美”,拿出来交流,目的是在真正的邪恶势力利用到这些“不完美”之前,创造更好的生活。

  黑帽子大会的门票,像飞机票一样价格浮动,订得早的,打个6折样子,但总的来说票价不便宜——订得早1000多美金,晚了就一口价2200多美金。

  为什么这么贵?——牛人多呗!他们用最平常不过的一些硬件,就可以瞬间颠覆你以往认为安全得没跑的事物;他们可以黑掉你认为比保险箱还坚不可摧的系统,来提醒大企业,这个漏洞太危险……

安卓系统被找茬

涉及99.9%的用户

  Bluebox的技术总监Jeff Forristal今年又一次找了安卓的茬儿。他在昨天的黑帽子大会上,首次演示了如何利用安卓系统的一个应用漏洞,恶意攻入安卓系统手机。

  不要以为这只是黑客之间无事“拗技术”的把戏,它确实涉及到超过全球99%的安卓系统用户的信息安全。

  通常,安卓系统的用户下载一个APP,会不断有弹窗出来提示:安装软件需要打开您的GPS功能,或者需要开放通讯录功能等,只有你确认了才能安装,就算没有经过这一系列权限强行安装了,系统也会崩溃没法启用。

  但是在Jeff手里,一个恶意APP应用可以逃脱这些正常的权限,在用户不知情的情况下获得安全特权。然后安然“卧底”在你的手机里,并且跟所有的病毒一样,它还要不断地“策反”手机里所有的正常软件,直到全变成一般黑的“乌鸦”。

  这意味着什么呢?作为这部智能手机的“总统”,你已经是美剧《纸牌屋》里的“傀儡”总统了,因为整个手机的“黑道”恶意应用,已经可以无缝窃取用户的数据,在特定场景下甚至完全控制Android设备。

  这个漏洞影响所有 4.3系统以下的用户(4.3是今年才出的系统)。

  “不夸张地说,这可能涵盖了99.9%的安卓用户。”杭州安恒科技有限公司总裁范渊说,可能有10亿的用户,都会受到威胁,所以全世界都有理由来关注这个问题。

  Jeff的这个发现,也给安卓系统构建商出了一题,不赶紧修补漏洞,利益、声誉损失太惨重。

车子越智能

越容易被“黑”

  某种程度上讲,黑帽子大会的议题,很富有哲学意义的。

  昨天大会上,来自美国的“黑帽子”harlie Miller和Chris Valasek,模拟演示了远程控制别人汽车的过程。

  “越来越智能的汽车,车身就是一个小网络,如果这个网络的围墙‘透风’,也就是被外部连接上这个网络,那么仅仅一点缝隙,都很可能被人反控全局——你的车既然有功能可以做到不需要你而自动泊车,也可能被人进攻,变成不需要你也能开车。纵然你双手把着方向盘,车也不一定再由你控制。”

  所有的交通工具,只要有控制网络系统就会遇到同样的问题。比如飞机,现在坐飞机,越坐越不无聊,十几个小时的旅途,前面椅背上的平板电视,一堆可点播的影视剧,这种享受,建立在飞机构建了自己内部的无线网络基础上。

  但是这个网络如果搭建不严密,运行密码被破解,飞机的导航系统就会被侵入,影响飞行安全。

  “我们展示出这项攻击,希望制造商加强智能交通工具的安全保障,比如控制访问权限等,将来的制造商团队,应该有一支强大的信息安全团队。”

  一整天不停地听黑客讲各种漏洞、各种攻击,就越感到平时我们上网都像是穿着皇帝的新装,自己认为安全,在攻击者眼里早就“裸奔”。

  升级不成黑客,怎么保护信息安全?跟黑帽子学几招:

  ●第一招,各种网上的账号、账户,不用相同的密码。

  怎么设密码?钱报记者随机问到几个黑客,人家都很不屑地说:“那么当然是大小写、字母、数字、特殊字符,一样不能少,长度至少8位以上。8位以下的密码,就等着被秒杀好了。”

  ●第二招,不同网站的密码不要通用。

  不重要的网站的注册密码,跟重要网站密码不要通用。什么玩个星际争霸啥的,就不要弄个网银一样的密码了。在注册新账号的时候,尽量不要泄露自己的真实个人信息。

  ●第三招,没事不用信用卡。

  黑帽子一般不用信用卡,迫不得已要给老婆刷卡买包包,做到信用卡不离开视线所及处。

  ●第四招,不点不明链接。

  黑帽子从不贸然点开不明链接,就算来自好友的账号也一样的,二维码也不能胡扫。

  ●第五招,票证不随便扔。

  有个人信息的票证、快递签收单等不要随便扔,淘宝淘得多,处理这些“后淘宝”垃圾,也要多个心眼,花钱弄台碎纸机来替你干活儿吧。


钱江晚报 科教·科学 a0012 顶级黑客昨日分享最新“黑动作” 2014-08-08 钱江晚报2014-08-0800015;钱江晚报2014-08-0800020;3578386;钱江晚报2014-08-0800022 2 2014年08月08日 星期五