黑帽门 黑帽大会来了 盘点发生在BlackHat上的“大事件”
8月1日至6日,世界黑帽大会黑帽将在美国举行。来自世界各地成千上万家大型企业和政府的研究人员,以及来自世界各地安全供应商和研究组织的优秀黑客将齐聚拉斯维加斯。每年,BlackHat还会曝光许多震惊安全界、甚至影响全球的“大事件”。
1.起搏器破解者神秘死亡
2013年7月下旬,以ATM安全研究闻名的黑客巴纳拜·杰克在三藩市意外身亡。他应该在2013年美国黑帽大会上就心脏起搏器和植入式心律转复除颤器的安全性研究发表演讲。据说他找到了破解和控制心脏起搏器的方法,并计划在Black Hat上公开。
2.使用三星智能电视监控用户
在2013年的BlackHat大会上,来自韩国大学的安全官SeungjinLee演示了入侵三星智能电视,发布“白宫被攻击”假新闻的全过程,证明了通过智能电视可以对用户进行监控。当时,智能电视被广泛吹捧为新事物。
3.影响数十亿设备的USB安全漏洞
在2014年的BlackHat上,来自德国柏林SR安全研究实验室的专家公布了一个代号为“BadUSB”的重大USB安全漏洞,该漏洞使USB接口控制器芯片的固件能够被重新编程,从而通过使用驱动程序、更改文件或重定向网络流量来完全控制计算机,但安全软件却找不到。公开数据显示,当时全球有60多亿个USB设备,每年新售出的USB设备约20亿个,其中任何一个都可以用固件重写。
4.影响20亿台移动设备的运营商软件漏洞
来自Accuvant的两名研究人员于2014年在Black Hat上发布了运营商控制软件的一个严重漏洞,该漏洞影响了安卓、黑莓和少量iOS设备,涉及不同运营商制造的设备和机型,影响了约20亿台移动设备。黑客可以利用控制软件中的漏洞安装恶意软件,访问数据,添加、删除或运行任何应用程序,清除一台设备的所有数据,甚至远程修改锁屏的PIN码等敏感操作。
5.民航飞机被炸开了WiFi漏洞,可以控制飞行
网络安全公司IOActive的研究人员2014年在BlackHat上表示,他们发现了民航飞机的WiFi系统漏洞。理论上,黑客可以利用机载WiFi或娱乐系统侵入导航空控制设备,破坏或改变卫星通信。研究人员表示,他们在“反转”专业固件时发现了这些漏洞。
6.把智能恒温器变成“肉鸡”
在2014年的BlackHat中,来自中佛罗里达大学的研究人员GrantHernandez和YierJin演示了Nest恒温器可以在不到15秒的时间内从底座上移除,并且可以通过microUSB接口植入后门恶意程序,恒温器所有者根本不会发现任何变化;这种恶意程序允许Nest被用作通过网络监视用户或攻击其他设备的工具。
7.中国人将在2015年大放异彩
过去,BlackHat平台上来自中国的演讲嘉宾很少,但根据BlackHat 2015的官方议程,中国黑客军团却兴高采烈:包括阿里、奇虎360、盘古、上海交大等团队,为中国BlackHat评选了8个主题,其方向涵盖了移动安全、底层安全、web安全、通信安全等多个领域。其中,360家公司入选“信任区安全攻防”、“挖掘安卓系统服务漏洞”和“深度学习在流量识别中的应用”三大主题,创造了中国安全团队参与BlackHat的历史。其中,来自360移动守护安全研究团队的沈迪将向全球黑客介绍Android系统TrustZone安全攻防的研究成果,并演示从传感器读取指纹识别数据的攻击利用,这正在成为手机流行的安全配置。
360移动守护安全研究团队龚光辉介绍了如何以安卓系统中最弱的系统服务为突破口,利用自己发现的漏洞获取安卓系统服务权限。龚光已经发现了8个类似的安卓系统漏洞和数十个系统服务崩溃,发现的8个漏洞已经全部提交给谷歌,并获得了其认可和唯一的CVE号。