GeekPwn大會今天開幕 小米/華為手機被破解

前瞻科技快訊，第二屆GeekPwn大會今天上海開幕，小米手機、華為手機、大疆無人機、智能攝像頭、拉卡拉等熱門產品被攻破。GeekPwn其中Pwn為“攻破設備或者系統”，而在去年第一屆Geekpwn上，特斯拉、360兒童衛士等產品被破解。

被破解的小米和華為的產品分別是小米4C和榮耀4A，參賽選手利用一個普通權限的app通過本地提權漏洞獲取系統的root權限，成功替換開機畫面，而開機畫面是存儲在系統的system的只讀分區之中。安卓設備的root權限提取其實相當普遍，小米4C和華為榮耀4A分別運行定制版的MIUI和EMUI，其中MIUI自帶Root權限管理，不過黑客使用普通程序即可攻破MIUI的防護。

墻內開花墻外香的大疆無人機成為近幾年智能設備中的熱門，在本次GeekPwn上，大疆無人機被利用無線劫持技術進行遠程控制，無需接觸無人機以及遙控器即可實現起飛等動作，取得了對大疆無人機的控制權。

拉卡拉是熱門的移動Pos首款設備，黑客在配對的安卓手機中劫持交易信息，在一張銀行卡上完成查詢余額的動作之后，使用另一張卡刷卡輸入任意密碼即可轉走前卡的余額，整個過程都沒有接觸之前的銀行卡，也沒有獲得密碼。

熱門的智能攝像頭此次大批中招，包括小蟻智能攝像頭、中興小興看看智能攝像頭、聯想看家寶、喬安770MR-W 無線網絡監控攝像頭、沃仕達T7866WIP 網絡攝像機等產品都被攻破。參賽選手對連接了網絡的智能攝像頭發起攻擊，進而獲得控制權限，可以竊取視頻、控制運動、播放篡改音頻等。

GeekPwn組委會在稱選手成功演示后會第一時間向企業發布漏洞細節報告，不過相關企業也還是相當緊張，就連支付寶也差點淪陷。一名選手攻破嘟嘟美甲充值系統，調用支付寶使用1分錢完成任意價格訂單。支付寶在微博白表示，漏洞與支付寶無關。GeekPwn期間一件有趣的事情是，活動現場的無線網絡遭遇攻擊癱瘓，組織者不得不發動參賽選手來尋找搗亂者。GeekPwn大會還有一項有趣的設定是，進男廁所前需要破解題目，輸入正確的密碼方能進入。