到2030年,亚洲市场销售额将超过1150亿美元,占据全…

原标题:内存取证,智能家居被劫持,短网址攻击,这届KCon都“搞”了什么?作者:又田在很多人心里,黑客是孤独的剑客,他们游走于赛博世界之间,隐身在IP之后,用着自己的花名,单打独斗。如果有什么能将这群游侠聚在一起,KCon算一个。无论是场景布置还是干货议题亦或是摇滚音乐,总有能抓住这群个性冲浪者的地方。已是第七届举办的KCon今年把主题定为‘聚·变’,用主办方知道创宇CEO赵伟的话解释,“KCon与传统安全大会不同,它不是一场商业会议,而是一个交流的平台。

聚集大家的智慧,散发更大的能量。”So,跟着雷锋网编辑来看看这场另类联谊会上的亮点议题吧。侠盗猎车--数字钥匙Hacking可能机械对黑客们永远有种吸引,反正世界各地的黑客大会上都有针对汽车发起的花式攻击。而这次会议上银基安全研究员Kevin2600也瞄上了汽车安全的话题,选择的着手点是安米一款针对老旧车型手机解锁的数字钥匙。Kevin分享了对其进行攻击的三种攻击手段:1、RF攻击。由于钥匙和车之间的通讯是单向的,不存在动态认证的过程,攻击者可干扰手机与车钥匙之间的通信。

在DefCon的舞台上黑客SamyKamkar就曾展示过这种操作,其所用的“作案工具”是Rolljam。盗贼通过干扰器阻止汽车接受钥匙信号,自己把钥匙信号保存下来,然后用来开门,同一把钥匙,不同的操作是公用一个滚动码序列的,但“RollJam”成功瓦解了滚动码的安全防护措施。它可以被藏在目标车辆上或者车库里,等待毫不知情的车主在车边按下无线钥匙解锁车门。但是随后车主会发现第一次没有响起开锁声,不过重试一下又成功了。之后SamyKamkar可以随时随地取回“RollJam”,在车边按下设备上的一个按钮打开车门。2、共享功能攻击。

用户进行微信或其他方式和亲朋好友共享密钥信息时,攻击者轻而易举就能获取。3、蓝牙加密破解。这个就更简单粗暴了,直接通过抓包就可以获取通讯信息,可直接窃取到敏感数据。汽车钥匙在经历了从机械钥匙、到远程控制、到FRID、再到数字钥匙的发展历程,手机成为钥匙已是未来的趋势,但其安全性也人不得不担忧。智能家居安全——身份劫持智能家居已走进千家万户,一但发生身份劫持恐将造成隐私敏感信息泄露、财产损失,甚至有设备被任意控制、被监控的危害。以智能音箱、智能插座等设备为例,百度高级安全工程师戴中印通过例举三家厂商的账号同步方式和设备交互操作方式,通过“身份劫持”,实现设备和产品的任意远程控制。

一般来说,账号同步一是要看设备是否合法,验证设备ID(key),二是要看Token是否安全传输,设备是否上网或者是通过蓝牙、AP方式,在此过程中可以进行身份劫持。比如,厂商A的音箱将身份信息,通过固定“协议”的格式,在UDP255.255.255.255:50000端口进行身份信息发送,攻击者可以监听UDP50000端口,从而获取用户的userid和token,窃取身份凭据。语音发送也是按照同一套固定的“协议”格式发送。至于设备交互过程中的劫持,戴中印将厂商A、B、C进行了总结和比较。在智能家居APP应用中,WebviewJS交互接口及Webviewfile域应用克隆的安全问题皆会导致身份信息泄露等安全风险。戴中印也告诉雷锋网编辑,目前他们已经将发现的漏洞报告给厂商A、B、C,这三家厂商皆已经完成修复。

工业网络安全——某款PLC远控实现不久前的发生的台积电病毒事件再次把工控安全问题摆在大众眼前。工控网络中的PLC(可编程逻辑控制器)一直以来都处在隔离网络中,但随着互联网的发展,越来越多的企业将其连接到互联网上,但随之而来却有很多的安全问题。