没有银行卡ATM却疯狂吐钞、共享汽车“免费”解锁……别不信 _摄像头

文章图片

文章图片

图源：GeekPwn 2022
没有银行卡，也能从ATM中取出钱？你收到的短信内容真的是发件人发送的吗？当充电桩盛行街头时，新能源汽车可以“免费”充电？租赁平台上的车辆被“免费”解锁？
智能生活中，我们总是会面对无处不在、意想不到的风险。
在GeekPwn 2022安全极客大赛上，极客们挖掘出了在AI、车联网、在线办公等领域中存在的漏洞，给智能生活来了一场“风险预演” 。
1分钟，虚拟机被控制放在虚拟机里的文件安全吗？或许你会说，虚拟机是运行在一个完全隔离环境中的计算机系统，安全是可靠的。
在2018年的安全极客大赛上，长亭科技团队就利用VMware虚拟机系统漏洞，仅用9分钟便获取了ESXi宿主机系统的最高权限并进行任意控制，这给私有云的运行和数据安全敲响了警钟。
此次，对虚拟机的挑战再次上演。在“越狱——逃出虚拟机”项目中， “光年虚拟化小分队”不但在1分钟内成功掌控了宿主机的摄像头权限，还获取了宿主机内的指定文件。一开始，项目见证者在目标虚拟机内运行了选手自制的程序，随后，选手通过运行脚本迅速获取了宿主机的控制权限，利用获取的控制权限，选手操控了目标电脑的摄像头，成功拍到见证者的照片，拿到了指定文件。

“逃出虚拟机”是指从虚拟机内部发起攻击，利用虚拟化产品中的漏洞来获取虚拟机外部宿主机的权限，这是网安领域公认的高技术难度项目， “光年虚拟化小分队”也因此获得2022年度极客榜冠军。
数据即资产，在“云时代” ，随着企业存储数据的增多，虚拟机在服务器整合和功耗方面具有很大的优势，成为刚需。但漏洞利用工具也日益猖獗，过去十年，几乎所有主流虚拟化软件，都曾曝出过虚拟化逃逸相关的漏洞，成为不得不应对的严峻威胁。
极客大赛裁判、安全专家宋宇昊告诉《IT时报》记者，在很多云服务场景中，不同用户、服务之间的隔离防护是用虚拟机来实现的，对虚拟机的安全研究可以提升云服务的安全性，保护云端大批量用户数据的安全。关键要提升虚拟机软件的代码质量，修复安全缺陷。
车钥匙形同虚设汽车，向来是极客们最“热衷”的目标之一，尤其是在汽车越来越智能化，逐步脱离“纯机械属性”的当下。在今年的极客比赛中，有6个汽车安全类项目通过还原汽车攻破场景，警示公众和厂商注意智能网联汽车的安全隐患。
55秒，解锁了3辆目标车辆，这是发生在今年极客比赛中的一幕。这3辆汽车都是同一租车平台上不同品牌的车，在得知车牌号的情况下， TQL战队通过内外场合作，以无接触技术手段远程解锁了共享汽车，并取出了车内的指定物品，让租赁车辆“免费共享” 。
仅需获得车牌号，就能远程解锁世界上任何角落的租赁车，细思极恐。如果有租车用户租了一辆车，车牌号被黑客获取并远程解锁，用户的安全如何保证？
【没有银行卡ATM却疯狂吐钞、共享汽车“免费”解锁……别不信】此外，无踪实验室的三位极客也完成了类似的挑战，在不到3分钟的时间内，不仅远程解锁汽车车门，还能实时获得该汽车的位置信息，车钥匙形同虚设。
虽然都是开车门，但涉及到的技术点并不一样。极客大赛负责人杨泉解释说，打开方式不一样。汽车有车锁防御机制，有的极客采用截获实体钥匙发送的射频信号，有的是车子App本身的安全机制出现问题。
无论是开车门还是对汽车定位，这些都是技术的结果，关键还是在网联环节。传统汽车在安全方面不会有太大问题，但恰恰是新功能衍生出了新的安全风险点。 “目前，真正威胁到汽车驾驶安全的漏洞，或者说通过联网方式影响到汽车驾驶安全的漏洞还比较少，这一类漏洞价值是非常高的。 ”杨泉说。
被“动手脚”的短信短信，几乎每天都收到，如何判断一条短信的真伪？关键之一就是看来源，但是你看到的来源是真的吗？没错，你的短信可能被动过了。
在现场，主办方提供了两台特定型号的手机， Redbud团队搭建了无线网络，把这两台手机连上无线网络，项目见证者向这两台手机发送短信， Redbud要做的就是劫持短信，并伪造任意号码向这两台目标手机发送任意内容的短信。

没有银行卡ATM却疯狂吐钞、共享汽车“免费”解锁……别不信

推荐阅读

如何找寻自我

缝纫机调线器怎么安装平车方法如何

强组词强字组词

火笋鸡翅的做法（增肥食谱）

闺女生日快乐祝福语朋友圈

LV请来潮牌设计师做艺术总监，看中的是啥

老虎豆怎么做好吃老虎豆图片怎样弄来吃

暖气有流水声是什么原因

皮球是什么体

手机怎样开通QQ空间

男生发mua说明 mua是什么意思

手指盖凹陷怎么回事

对自己的生活失去掌控咋调整

小米10s怎么没有月亮模式

我想找个偏僻的地方搞养殖！有没有推荐的地方？

南京养老金认证上门服务怎么申请南京市养老金认证

如何评价猪场阉割猪？

最后一个字是豹的成语

泰山散酒怎么样

猫发情的声音(猫发情的叫声)