XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

摘要

当我们充分享受高科技带来的快捷与便利时,也许也在不知不觉中出卖着我们的隐私……甚至更多。可能在并不遥远的将来,我们都会成为机器眼中的透明人?部分重复劳动、低技术岗位大量被AI取代?大数据+机器学习打造出的超级智库已经在帮助人类甄别犯罪行为了,几十年后会不会发展到预测犯罪,《少数派报告》的世界会成为现实吗?  


当我们充分享受高科技带来的快捷与便利时,也许也在不知不觉中出卖着我们的隐私……甚至更多。可能在并不遥远的将来,我们都会成为机器眼中的透明人?部分重复劳动、低技术岗位大量被AI取代?大数据+机器学习打造出的超级智库已经在帮助人类甄别犯罪行为了,几十年后会不会发展到预测犯罪,《少数派报告》的世界会成为现实吗?  

那个时代的人类回望几十年前,不知是否会发出一声长叹。人类啊,你还是图样图森破,不知道命运馈赠的礼物,早已在暗中标好了价码。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

也许我们真的走到了科技发展的关键拐点,好在我们还有机会,有那么一群人,一直奋斗在信息安全和大数据、机器学习、AI等前沿科学的第一线,为了避免我们的世界线走向黑暗而努力着。今天在北京朝阳区751D-Park举办的XPwn2017未来安全探索盛会就汇聚了这样一群精英大咖,分享近年来在突破中进行创新的经验心得,议题也大多有点儿意思,马上开始吧~  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

手机里突然多了个APP,什么我这就成主角了?  

关于P5的梗咱们文末彩蛋再聊,咳咳……在现实世界中,手机里突然冒出来一些莫名其妙的APP,恭喜你,那多半说明你已经中招了。来自蚂蚁金服巴斯光年安全实验室的两位安全专家曲和、超六(这两位挺有意思,一唱一和很有讲相声的潜质)来为我们解答了这些疑问。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

两位安全专家准备了四个演示环节,分别是远程安装任意APP、远程装卸APP、远程破解锁屏和远程本地安装卸载应用。另外,所有进行测试的设备,都使用了较新的安卓6和7系统,并且打上了最新的安全补丁。不出意料,曲和负责讲解,超六负责实操,顺利完成了四次渗透演示。  

攻击过程是这样的,假设有一个用户,他收到我们发送的恶意的链接。他只需要点击链接,就会自动安装我们事先准备好的恶意应用,并且弹出攻击成功的提示页面。  

超六为大家解释道。  

通过社工手段诱导用户点击链接,安装上恶意程序之后,你的手机和他们的手机也没啥区别了。  

“小黑车”创业指南  

O2O行业最近有点不好过,街边五颜六色的共享单车走了一茬又一茬,当初说好的颜色不够用呢?抛开运营不谈,共享单车在整体上也比较缺乏安全意识,百度安全实验室XLab的安全专家高树鹏和黄正通过测试车锁,发现车锁加密使用犯了一个错误:车锁中有一张芯片,可以从云端通信,只要可以拦截通信的内容,破解开锁就很容易了。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

他们开启基站设备,通过基站设备引诱车锁进行远程开锁,整个过程不到一分钟。伴随着咔擦的开锁声,台下响起了一片欢呼和掌声。  

台上一分钟,台下十年功不是随便说说的。高树鹏和黄正的破解立项是非常苦的事情,拿到部件之后,想要把它完整代码还原回来,非常费时间。  

OFO的车锁没有发电装置,为了省电,它在正常情况下不和服务端通信,只有在上锁的一瞬间和服务器发生短暂通信(摩拜单车则是实时通信)。XLab利用一台小型网络信号嗅探设备,截获了车辆和云服务器之间的通信,发现通信做了强加密。于是我们利用逆向工程技术,分析出了加密协议的弱点,从而解密了经通信协议加密的数据。  

接下来两位安全专家还逐一演示了密码拦截、中间人攻击直至远程强刷OFO固件,至此小黄车除了还是黄的,基本已经可以改名叫“小黑车”了。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

这样破解别人的设备,就不怕被怼吗!  

高树鹏老师是这么解释的:  

啊?为什么要来怼我们?我们是本着安全研究的目的去破解的,帮他们发现了程序漏洞,避免被黑产利用、薅羊毛(请关注本站后续的薅羊毛黑产报告,比较详尽)什么的。维护了他们的利益和用户的权益。后期我们(百度安全)也会积极配合厂商修复漏洞,希望通过百度的安全能力为更多智能设备厂商解决安全问题。  

好好好,你帅你说的都对。OFO还应该来谢谢你们咯……  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

除此以外,我们了解到除了共享单车,其他智能设备也多多少少存在相似的问题。  

便民医疗APP还便利了谁?  

现在主流的医疗移动应用包括预约挂号、在线问诊、导诊等功能,在挂号难就诊难的医疗环境下,这些移动app大大便利了普通市民的生活,可随之而来的问题是,患者的信息被上传至网络,用户隐私泄露成了一个重大隐患。如果这些信息被不法分子利用,那将有什么样的后果?移动医疗是否正好给这些心怀叵测的人提供了一个渠道?  

来自神州网云冰狐安全实验室的李立兵老师对此做了详细分析,并在会上发表了《移动医疗APP安全白皮书》的内容梗概。移动医疗领域市场规模增长很快,但无论是院方还是开发者对移动医疗安全的重视都明显没有跟上市场增长的速度。李立兵老师希望《移动医疗APP安全白皮书》可以从本地数据安全、数据传输安全、代码保护、交互安全四个方向建立起移动医疗设备的安全检测标准。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

除了四个APP的安全检测标准,还有一个不容忽视的问题,就是服务端安全。在这里我们可以很好借鉴陈忠实先生在谈《白鹿原》处理性与爱的三个原则,就是不回避、撕开写、不做诱饵。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

也就是说,在服务器端安全的检测过程当中,应充分考虑移动安全和网络安全法,强调用户的隐私保护。安全检测目的,是发现问题、及时上报,促进修复改进,不能变成入侵行为。  

李立兵老师也提到:  

近些年来,逻辑漏洞是越来越重要,也是越来越多了。因为很多系统架构很复杂,里面有很多业务的逻辑,如果没有把控好,很容易出现越权的漏洞。  

如果说手机终端安全和智能锁被破解还显得有点儿缥缈(其实并不),医疗行业的安全隐患就绝对可以用触动人“心”来形容了。前几天刚曝出46.5万台心脏起搏器漏洞还历历在目,身体植入芯片也早就不是什么新鲜事儿了。这可都是关乎性命的大事儿,不容有失。  

AI时代的智慧工作  

百度AI负责人刘勇老师向我们分享了百度自己的经验,他们通过生物特征(脸部识别、声音识别等)设计了一系列的认证体系。除此以外,AI还可以替代一些简单的体力劳动和低技术的脑力劳动,并给复杂的脑力劳动加强武装。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

用刘老师自己的话来说,百度这几年是“ALLIN”到了AI科技上。百度研发的以生物特征为基础的身份认证体系已经很成熟了,目前百度内部已经把人脸作为员工的主要数据,所有数据统一起来,有统一的注册入口,整个流程中心统一管理。  

对于PPT演示的人脸打卡,刘老师是这样评价的:  

百度上班不打卡,这个打卡是我们直销分公司,他们都是朝九晚五。还有一个是我们销售,还有服务团队,他们自发使用我们人脸考勤,我们没有推广。再强调一下,百度上班不打卡!  

好了好了,我们知道了,百度上班不打卡……  

接下来的话题比较有意思,刘老师提到百度的AI系统会给员工做出画像(不侵犯隐私),并通过内部社交网络收集的数据进行离职预测、个性化学习发展、甚至是智能招聘。来自AI的挑战也许会来的比我们想象地更早,虽然今天看不到、明天看不到、后天也看不到,大后天可就不好说了。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

刘老师除了介绍研究成果,也向我们分享了一套百度的方法论,就是学会拥抱变化,敢于在公司内部做试验田。据说百度的很多项目也是内部实施不错,才开始逐渐讨论商业化外推可能性的。  

说了这么多AI的好,上个月刚结束的CSS大会上美国加州大学伯克利分校DawnSong教授分享的议题中提到,以AI服务安全确实是一项新兴的技术议题,但AI为攻击者创造的价值,却从来不会比防御者低。难道所有技术的发展,终究都会成为进攻方手中的利器?这是一个值得思考的问题。  

网络录像机,你要录给谁看?  

提到录像机,大家可能较少见到,但这种设备在行业里应用非常广泛,使用监控摄像头的地方都能看到它的身影。  

四维创智的两位研究员胡一米和李敏老师分析了目前市场上主流品牌的录像机产品,发现里边不少产品都存在较严重安全隐患,比如现场展示三星、Honeywell两家的产品,均可获取设备控制权限。

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

互联网金融APP信息安全依然堪忧  

来自移动互联网系统与应用安全国家工程实验室(足足19个字!)的何坤、庆骏凡老师,探寻了当前互联网金融的安全现状。他们检测了市场上排名前100的金融平台,从多个维度评估应用本身的安全设计,而每个APP都存在不同程度的安全问题。  

在他们的调研中,最普遍的问题集中在加密算法的不安全使用、应用程序缺乏保护措施、本地文件、以及系统日志敏感信息泄露等方面。

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

众所周知,金融服务企业们正在寻求各种机会,希望能够利用技术来定义、差别化或支持他们的业务战略。他们将全数字化转型视为获得业务价值、颠覆市场和领先竞争对手的一种方式。但是,随全数字化能力而来的还有复杂性。互联网金融本身数字化属性,以及传统金融机构数字化转型带来的是数据、系统和网络各方面的风险。  

场外花絮

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

酒会上很棒的小姐姐

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

百度安全小展台,对我就是来拍小姐姐的

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

机器人格斗擂台,Real Steel!

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

蚂蚁金服小展台神秘的“老坛酸菜”,汪涵人呢?

彩蛋  

为啥手机自动安装APP就会成为主角?  

这个梗可能有点儿深,但思前想后我还是准备把它写出来(谁让P5天下第一呢)。话说有个日本转学高中生,突然有一天发现手机里自动安装了一个导航程序,还怎么删都删不掉。他不仅没有第一时间检查手机是不是中毒了,反而通过这APP发现了进入他人内心世界的秘密,从此一举成为东京偶(pao)像(wang),也许这就是主角的人生吧。  

XPwn 2017探索未来盛会遥望,迎接我们的会是少数派报告的世界吗?

不过作为普通人,我们如果遇到相似的情况,记得第一时间恢复出厂设置或者刷机哦~  

还有更多关于XPwn2017的有趣议题,因为篇幅原因没有一一单独介绍,有兴趣的话不妨看看咱们的图文直播一探究竟。

* FreeBuf官方报道,本文作者:Akane,未经许可禁止转载

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: