55秒攻破3辆共享汽车、会议视频被窃听、个人短信被拦截……近日在沪闭幕的GeekPwn 2022安全极客大赛上,选手们挖掘生活中容易被忽略的安全隐患,给大众智能生活敲响警钟。网络世界真的防不胜防吗?用什么样的方法可避免被攻破?11月3日,记者采访了国内知名白帽子公司KEEN公司联合创始人、GeekPwn实验室安全专家宋宇昊。
极客大赛的一个个成功案例,是不是意味着我们的智能生活充满风险?对此,宋宇昊说: “互联网经过20多年的发展,无论是监管还是法律法规方面,都越来越重视安全以及个人信息保护,相应的法规也越来越完善。从技术层面,无论是厂商还是平台方,大家都非常重视安全问题。相比多年前,我们现在的网络安全要好很多。”不过,这并非意味着不存在风险, “在网络世界中,攻防双方一直处在博弈状态,防守方有法律法规、有越来越多技术;攻击者也在不断提升自己的技术,因为高价值的数据一直是不法分子关注的目标”。
今年的比赛中, “共享”是个热词,比如参赛项目《 “共享”的汽车》《被愚弄的充电柜》等。 “共享”是不是风险更高? “选手能够55秒攻破3辆共享汽车,原因是找到了租车平台上的安全缺陷。”宋宇昊说,租车平台为了提升租车的便捷性,对汽车进行了一定的改装,让普通汽车接入互联网,用户租车时在手机App上操作完成后就可以把车开走。 “但这些平台有一些在安全上做得不是很完善的地方,通过这些缺陷,选手可远程控制并解锁租车平台的车辆,利用了平台的技术漏洞。”无论是共享汽车、共享换电柜还是共享单车,一旦连入互联网,势必增加风险。平台本身的漏洞,用户凭一己之力很难防范,只能通过厂商修复已知问题,用户升级到最新版本之后,规避风险。
此外,防不胜防的还有在线会议、远程办公等场景。一方面,这些漏洞也源于平台本身,另一方面则是网络本身的风险。 “W i-Fi提供的是网络接入的入口,电脑、手机作为终端设备,要访问互联网,这中间的通路就是Wi-Fi设备。”宋宇昊说,假如中间的这条“路”不安全,用户传输的信息就会被篡改,这种情况下,攻击者就有能力对用户的手机进行进一步攻击和渗透。攻击的本质,是攻击者与用户产生交互。 “就像是撬锁,至少要找到锁眼,这就是攻击入口。”宋宇昊说,对于手机用户来说,攻击入口主要有三方面,一是诱导用户访问某个网站,二是安装不明来源App,三是通过Wi-Fi修改用户访问资源。 “用户只有把好这几个入口,网络安全才能得到比较好的保障。”
最后,宋宇昊给出几条建议:勤更新操作系统及App软件;从正规渠道下载App;尽量使用自己信任的Wi-Fi网络或使用移动数据网络,不要使用不可信的公共Wi-Fi;不要使用简单密码,不要在不同平台使用相同密码;不要打开来历不明的网页,不扫描不明二维码;安装使用安全工具(如杀毒软件)。
(解放日报记者 俱鹤飞)
