55秒攻破3輛共享汽車、會議視頻被竊聽、個人短信被攔截……近日在滬閉幕的GeekPwn 2022安全極客大賽上,選手們挖掘生活中容易被忽略的安全隱患,給大眾智慧生活敲響警鐘。網絡世界真的防不勝防嗎?用什麼樣的方法可避免被攻破?11月3日,記者採訪了國內知名白帽子公司KEEN公司聯合創始人、GeekPwn實驗室安全專家宋宇昊。
極客大賽的一個個成功案例,是不是意味著我們的智慧生活充滿風險?對此,宋宇昊説: “互聯網經過20多年的發展,無論是監管還是法律法規方面,都越來越重視安全以及個人信息保護,相應的法規也越來越完善。從技術層面,無論是廠商還是平臺方,大家都非常重視安全問題。相比多年前,我們現在的網絡安全要好很多。”不過,這並非意味著不存在風險, “在網絡世界中,攻防雙方一直處在博弈狀態,防守方有法律法規、有越來越多技術;攻擊者也在不斷提升自己的技術,因為高價值的數據一直是不法分子關注的目標”。
今年的比賽中, “共享”是個熱詞,比如參賽項目《 “共享”的汽車》《被愚弄的充電櫃》等。 “共享”是不是風險更高? “選手能夠55秒攻破3輛共享汽車,原因是找到了租車平臺上的安全缺陷。”宋宇昊説,租車平臺為了提升租車的便捷性,對汽車進行了一定的改裝,讓普通汽車接入互聯網,用戶租車時在手機App上操作完成後就可以把車開走。 “但這些平臺有一些在安全上做得不是很完善的地方,通過這些缺陷,選手可遠程控制並解鎖租車平臺的車輛,利用了平臺的技術漏洞。”無論是共享汽車、共享換電櫃還是共享單車,一旦連入互聯網,勢必增加風險。平臺本身的漏洞,用戶憑一己之力很難防範,只能通過廠商修復已知問題,用戶升級到最新版本之後,規避風險。
此外,防不勝防的還有在線會議、遠程辦公等場景。一方面,這些漏洞也源於平臺本身,另一方面則是網絡本身的風險。 “W i-Fi提供的是網絡接入的入口,電腦、手機作為終端設備,要訪問互聯網,這中間的通路就是Wi-Fi設備。”宋宇昊説,假如中間的這條“路”不安全,用戶傳輸的信息就會被篡改,這種情況下,攻擊者就有能力對用戶的手機進行進一步攻擊和滲透。攻擊的本質,是攻擊者與用戶産生交互。 “就像是撬鎖,至少要找到鎖眼,這就是攻擊入口。”宋宇昊説,對於手機用戶來説,攻擊入口主要有三方面,一是誘導用戶訪問某個網站,二是安裝不明來源App,三是通過Wi-Fi修改用戶訪問資源。 “用戶只有把好這幾個入口,網絡安全才能得到比較好的保障。”
最後,宋宇昊給出幾條建議:勤更新作業系統及App軟體;從正規渠道下載App;儘量使用自己信任的Wi-Fi網絡或使用移動數據網絡,不要使用不可信的公共Wi-Fi;不要使用簡單密碼,不要在不同平臺使用相同密碼;不要打開來歷不明的網頁,不掃描不明二維碼;安裝使用安全工具(如殺毒軟體)。
(解放日報記者 俱鶴飛)