8月1日~6日,世界黑帽大会BlackHat即将在美国举行,来自全球上万名大企业和政府的研究人员,以及来自世界各地安全厂商和研究组织的优秀黑客将云集拉斯维加斯。而每一年的BlackHat也都会曝出多个震惊安全界甚至影响整个世界的“大事件”。
1、心脏起搏器破解者离奇死亡
2013年7月下旬,因ATM安全研究蜚声安全界的黑客Barnaby Jack在旧金山意外去世。而他本应在Black Hat USA 2013上,演讲关于心脏起搏器和植入型心脏复律除颤器(ICD)安全研究的议题,据说他已经发现了破解并控制心脏起搏器的方法,并计划在BlackHat上公开。
2、用三星智能电视监视用户
在2013年的BlackHat大会上,韩国高丽大学的安全人员SeungjinLee演示了入侵三星智能电视发布“白宫遭到攻击”假新闻的整个过程,并证明了可以通过智能电视监视用户。而在当时智能电视作为一个新事物正在广受吹捧。
3、影响数十亿设备的USB安全漏洞
2014年的BlackHat上,德国柏林的SR安全研究实验室专家公布了一个代号为“BadUSB”的重大USB安全漏洞,可以使USB接口控制器芯片固件被重新编程,从而利用驱动完全控制电脑,改变文件或重新定向网络流量,而安全软件无法发现。公开数据显示,当时全球已有超过60亿个USB设备,每年新售出的USB设备大约20亿个,其中任何一个设备都有可能被改写了固件。
4、影响20亿移动设备的运营商软件漏洞
两名来自Accuvant的研究员在2014年的 Black Hat上,公布了一个存在于运营商控制软件中的严重漏洞,该漏洞影响安卓、黑莓以及一小部分的iOS设备,涉及不同运营商制造的设备及模型,影响大约20亿移动设备。黑客能够利用控制软件中的漏洞安装恶意软件,访问数据,增删或者运行任意应用,清除一个设备的全部数据,甚至远程修改屏幕锁屏的PIN码,以及其他一些敏感操作。
5、民航飞机被爆WiFi漏洞,可控制飞行
网络安全公司IOActive的研究人员在2014年的BlackHat上称他们发现了民航飞机的WiFi系统漏洞,从理论上说,黑客可以使用机载WiFi或娱乐系统,黑进航空控制设备,扰乱或更改卫星通讯,研究人员称他们是在对专业固件进行“逆向”时,发现了其中的漏洞。
6、把智能恒温器变成“肉鸡”
2014年的BlackHat,来自中央佛罗里达大学的研究人员GrantHernandez、YierJin示范了在不到15秒的时间内就能把Nest恒温器(当时最热门的智能硬件产品)从底座上移除,并透过microUSB接口植入后门恶意程式,而且恒温器主人完全不会发现有任何改变;这种恶意程式能让Nest被用来当做窥探使用者的工具,或是透过网路攻击其他装置。
7、中国人将闪耀BlackHat 2015
在过往的BlackHat讲台上,来自中国的演讲者寥寥无几,不过BlackHat 2015官方公布的议程看,中国黑客军团扬眉吐气:包括阿里、奇虎360、盘古、上海交大等团队在内,我国共有8个议题入选BlackHat,其方向涵盖移动安全,底层安全、web安全、通信安全等诸多领域。其中360一家就有“TrustZone安全攻防”、“通过挖掘Android系统服务漏洞提权”和“深度学习在流量识别的应用”三大议题同时入选,创造了中国安全团队参加BlackHat的历史。其中来自360手机卫士安全研究团队的申迪将向全球黑客介绍有关Android系统TrustZone安全攻防的研究成果,并且现场演示从传感器中读取指纹识别数据的攻击利用,这指纹识别正在成为手机的一个热门安全配置。
而360手机卫士安全研究团队的龚广会介绍如何利用Android中最为薄弱的系统服务做突破口,使用自己发现的漏洞来获得Android系统服务权限,龚广已经发现了8个类似的Android系统漏洞以及数十个系统服务崩溃,发现的8个漏洞都已提交给Google,并获得其承认与独有的CVE号。