【51CTO.com原創(chuàng)稿件】萬物互聯(lián)時(shí)代，智能手機(jī)、智能穿戴、智能汽車、智能家居，乃至智能機(jī)器人等智能化設(shè)備正出現(xiàn)在人類生產(chǎn)生活的各個(gè)角落，為人們的工作生活帶來便利。然而，與此同時(shí)各種各樣的新安全威脅也隨之慢慢凸顯。例如：攻擊者可以通過智能攝像頭的漏洞時(shí)刻監(jiān)視你的一舉一動(dòng)，攻擊者遠(yuǎn)程控制智能汽車隨時(shí)可以實(shí)現(xiàn)啟動(dòng)等操作……

立足未來安全，洞悉智能生活安全風(fēng)險(xiǎn)

萬物互聯(lián)互通時(shí)代，如何讓智能設(shè)備更好的服務(wù)人們的生活，守住安全大門?8月30日，由國家信息安全漏洞庫(CNNVD)指導(dǎo)，北京未來安全信息技術(shù)有限公司主辦，螞蟻金服安全響應(yīng)中心、百度安全共同支持的“XPwn2018 未來安全探索盛會(huì)”在北京召開。

XPwn旨在幫助廠商發(fā)現(xiàn)并解決智能設(shè)備上存在的安全問題，并及時(shí)進(jìn)行修正，從而提高產(chǎn)品安全質(zhì)量，提高廠商的安全意識(shí)，促使民眾和廠商更加注重安全，為社會(huì)帶來更大的價(jià)值，讓智能設(shè)備更好服務(wù)生活。與往屆XPwn相比，本屆在關(guān)注現(xiàn)今生活比較流行的信息領(lǐng)域的安全問題的同時(shí)，更加關(guān)注未來信息技術(shù)領(lǐng)域的安全問題。讓大眾對(duì)智能安全問題進(jìn)行重視，讓未來的生活更加安全、美好。

在致辭中，XCon&XPwn創(chuàng)始人、北京未來安全信息技術(shù)有限公司CEO王英鍵表示：“我們希望通過XPwn傳播發(fā)現(xiàn)的安全問題，并讓廠商和民眾重視安全問題，提升安全感。同時(shí)，希望傳播安全思想，發(fā)揚(yáng)極客精神。我們還希望，未來把XPwn活動(dòng)作為一個(gè)常態(tài)，持續(xù)不斷向大家發(fā)布安全問題，讓大家認(rèn)識(shí)理解安全問題的存在，讓安全研究人員被大家理解，得到更好的支持，讓安全研究員做出更好的貢獻(xiàn)。”

百度安全事業(yè)部總經(jīng)理馬杰也表示：“XPwn上有很多非常有價(jià)值的議題。黑客這個(gè)詞的英文本義是Hacker，沒有黑白之分，我們做的是對(duì)系統(tǒng)的探索，是對(duì)本質(zhì)的追求。我們要探索世界、改變世界。我們要用開放的心態(tài)迎接未來的變化，讓世界更加美好。”

XPwn黑客高手展“神技”

會(huì)上，來自螞蟻金服光年實(shí)驗(yàn)室、百度安全實(shí)驗(yàn)室、未來安全胖猴實(shí)驗(yàn)室、中科院信工所和復(fù)旦大學(xué)等機(jī)構(gòu)的破解選手，演示了破解智能收銀機(jī)、智能門鎖等多個(gè)物聯(lián)網(wǎng)智能設(shè)備的過程，雖未詳細(xì)透露破解細(xì)節(jié)卻提供了解決方案，幫助大家守護(hù)智能設(shè)備安全。

◆我吃飯你買單，黑客帶你免費(fèi)吃大餐

來自百度安全實(shí)驗(yàn)室的安全研究員和復(fù)旦大學(xué)白澤戰(zhàn)隊(duì)都選擇了破解智能收銀系統(tǒng)。目前，一般商戶通常不具備安全意識(shí)，這給黑客帶來了可乘之機(jī)。據(jù)介紹，一旦黑客攻破了智能收銀系統(tǒng)，便會(huì)讓商戶帶來直接的經(jīng)濟(jì)損失，黑客不但可以“免費(fèi)吃大餐”，甚至還可以悄然不覺偷走商戶的錢，篡改商戶的訂單。

安全研究人員還介紹到，這些漏洞的影響范圍巨大，至少有數(shù)十萬臺(tái)設(shè)備會(huì)受到影響，如果這些漏洞被黑客利用，一般商戶或許會(huì)遭到巨大的損失。這些漏洞的發(fā)現(xiàn)有助于讓商戶提高自己的安全防范意識(shí)，保護(hù)自己的權(quán)益。

◆物聯(lián)網(wǎng)設(shè)備存在多個(gè)漏洞，或被黑客劫持

從智能門鎖到路由器，物聯(lián)網(wǎng)中每個(gè)設(shè)備都可能成為黑客的目標(biāo)。來自未來安全的胖猴實(shí)驗(yàn)室和中科院信工所，為大家展示了物聯(lián)網(wǎng)設(shè)備被攻破后帶來的嚴(yán)重后果。據(jù)胖猴實(shí)驗(yàn)室安全研究員介紹，當(dāng)漏洞被黑客利用后，智能門鎖將形同虛設(shè)：黑客利用漏洞將智能門鎖的固件變成自己的，他們可以用任意密碼打開你的大門，當(dāng)這種情形發(fā)生后，你家中的財(cái)物便會(huì)不翼而飛，如果在公司，后果更是不堪設(shè)想。

路由器是時(shí)下必不可少的物聯(lián)網(wǎng)設(shè)備之一，來自中科院信工所的安全研究員利用漏洞攻破了路由漫游系統(tǒng)，另一組安全研究員則攻破了某知名廠商的商用企業(yè)路由器。用戶瀏覽網(wǎng)站時(shí)會(huì)被黑客劫持到指定頁面，黑客可以利用頁面植入木馬，或進(jìn)行詐騙。而這些漏洞的研究有助于推動(dòng)行業(yè)了解黑客的攻擊手法，增加保護(hù)機(jī)制，從而減少黑客的攻擊。

◆一錘定音，手機(jī)電腦被黑客接管

會(huì)議中，來自螞蟻金服安全實(shí)驗(yàn)室安全研究員為大家展示了攻破某手機(jī)瀏覽器和OS X系統(tǒng)。螞蟻金服光年安全實(shí)驗(yàn)室的安全研究員僅僅讓用戶點(diǎn)擊了一個(gè)網(wǎng)頁鏈接，便監(jiān)控了瀏覽器此后的所有上網(wǎng)行為。比如，獲取用戶的瀏覽網(wǎng)站內(nèi)容、盜取登錄憑證、盜取用戶名和密碼。也就是說，各類賬號(hào)均在黑客的掌握之下。

此外，Mac電腦也不是絕對(duì)安全的。螞蟻金服光年安全實(shí)驗(yàn)室的另一組安全研究員展示了如何攻破OS X系統(tǒng)，攻擊者最終可獲得內(nèi)核權(quán)限，完全接管受害者運(yùn)行macOS的電腦，實(shí)現(xiàn)多種惡意行為。

用極客方法抓娃娃

除了以上專業(yè)議題內(nèi)容，XPwn還邀請(qǐng)了兩位抓娃娃機(jī)的網(wǎng)紅高手在現(xiàn)場為大家演示了一把。抓娃娃機(jī)的高手能把一個(gè)娃娃機(jī)瞬間清空，他們是怎么做到的呢?

其中一位多次獲得抓娃娃冠軍的網(wǎng)絡(luò)高手“堂主”告訴大家，他曾經(jīng)以為抓娃娃是“騙局”，不過后來發(fā)現(xiàn)，這里面其實(shí)是有技巧有學(xué)問的，抓娃娃機(jī)的型號(hào)、大小、爪機(jī)模型等等都是不一樣的，不但是有算法和概率，還有甩爪、別爪等各種技巧。

而另一位抓娃娃網(wǎng)紅解先生介紹說，其實(shí)抓娃娃不僅僅要練技巧，還要?jiǎng)幽X子，比如盒子怎么抓，不能選爪子的時(shí)候，怎么把爪子插到娃娃的標(biāo)簽里勾出來……他表示，真正的抓娃娃玩家心中都有一個(gè)底線，盡量不會(huì)清機(jī)的。

一個(gè)安全峰會(huì)，為什么要請(qǐng)來抓娃娃界的快手紅人來演示? XCon & XPwn創(chuàng)始人王英鍵表示，這是一種極客精神和黑客的精神，是對(duì)于一些很多問題不斷的探索去追究、去挖掘的精神。抓娃娃從一開始和黑客、研究安全都是一樣的，都是在對(duì)某一件事情，在某一個(gè)點(diǎn)上產(chǎn)生了濃厚的興趣，為了任何一個(gè)東西，發(fā)現(xiàn)他的特點(diǎn)，然后找到他的機(jī)制(進(jìn)而解決這個(gè)問題)。

安全離生活并不遙遠(yuǎn)，XPwn讓未來安全走向大眾

據(jù)悉，XPwn2018極智未來未來安全探索盛會(huì)的目的不僅僅在于發(fā)現(xiàn)問題，更重要的是解決問題，同時(shí)鼓勵(lì)選手帶著解決方案來XPwn披露漏洞，演示從發(fā)現(xiàn)到解決的一系列過程。此次盛會(huì)不僅僅面向?qū)I(yè)觀眾，更力求讓大眾增進(jìn)對(duì)安全的了解和認(rèn)識(shí)，讓大眾明白安全離生活并不遙遠(yuǎn)，同時(shí)，也讓大家懂得極客和黑客精神的內(nèi)涵，讓智能生活更加先進(jìn)與安全。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】