澎湃Logo
下载客户端

登录

无障碍
  • +1

知名黑客告诉你:“蹭网”有风险,充电需谨慎

澎湃新闻记者 徐明徽
2014-10-31 15:35
来源:澎湃新闻
文化课 >
字号

有中国黑客“教父”之称的龚蔚,在现场演示被植入恶意程序的充电宝如何“劫持”用户的手机。 澎湃新闻记者 徐明徽 图

       

        充电宝盗用手机信息,关机状态下录音、录像功能依然运转,公共WIFI存在被“钓鱼”的风险……10月30日,在上海张江的国家信息安全成果产业化基地内,众多信息安全专家与业内知名黑客们齐聚一堂,举行了一场别开生面的信息安全互动演示会。本场演示活动,也拉开了第四届上海市信息安全活动周的序幕。

“恶意”充电宝劫取手机用户资料

        作为演示会上的重头戏,信息安全专家在现场演示了魔术般的漏洞攻击。

        有中国黑客“教父”之称的龚蔚(Goodwell)首先登场,在他看来,随着接入网络的智能终端越来越多,普通人面临的风险也几乎是随时随地。“你可以做的,恶意黑客都能做。你不能做的,他也能做。”龚蔚拿出一款普通的充电宝开始演示。他说,通过向充电宝植入恶意程序,恶意黑客可以非常轻松地“劫持”用户的手机。经过一番操作,一款原本正常的手机,在连接“问题”充电宝后,立刻被执行重启。随后,该手机开机界面被增设或重置密码,页面上同时跳出一行提醒:如果想要获取密码,请向指定银行账户汇款。

        原来,这是恶意黑客利用用户手机里的资料作为要挟、向用户勒索现金的手段之一。龚蔚介绍,利用类似手段敲诈勒索的案例在欧美已经屡屡上演。恶意黑客为了逼迫用户付费,还设置了如下条款:第一天,19美元;第二天,29美元;第三天,39美元;第四天,资料永远也找不回来了。

        而事后的调查数据显示,高达70%的受害用户会支付费用。“不少人一开始会自己尝试解决,或者找朋友帮忙,但到了第三天,往往因为担心资料找不回来而被迫付款。”龚蔚说,充电宝只是一个例子,只要是接入网络的智能终端,一旦感染恶意程序,都可能成为破坏性极强的工具。

恶意APP把手机变成窃听器

        出席演示会的KEEN团队则拿出了6部装有安卓操作系统的手机。KEEN团队是从上海走出来的安全团队,曾获得全球顶级安全大赛的三项冠军。经过澎湃新闻(www.thepaper.cn)记者的确认,这些手机和普通手机并没有区别。随后,参与互动的记者按照提示,点开手机上一款APP,这时,手机开始自动重启。意外的是,重启后的手机,连开机画面也被修改了。

        随后,KEEN团队成员将这些手机关机,并现场拨打,确认这些电话确实处于无法接听的状态。但是,就在参与者拿着这部已经被关机的手机向大家展示的过程中,手机上的摄像头和麦克风仍在收集现场的图像和声音。也就是说,一直关机的手机,居然已经被人控制,成了窃听器和监控探头。

        KEEN团队负责人王琦介绍,其中的奥秘,就在于之前点击的APP是一款恶意程序。经过执行自动重启程序后,手机就被控制了。他提醒,不辨来源的APP存在非常大的风险,安装一定要谨慎。

企业同样面临信息泄露风险

        面对信息安全风险的不只是个人,还有企业,对于后者而言,信息安全更加至关重要。

        涟漪网络科技(上海)有限公司的总经理滕军说,很多企业之所以信息安全漏洞连连,一是因为安全产品专业性强,往往定价很高,往往只有大企业才能承担,而中小企业因为预算不足而无法使用;二是因为很多企业即便购买了安全产品或服务,也没有有效加以利用。

        对此,滕军建议提供信息安全产品或服务的企业,可以采取互联网运营的方式,收取年服务费或者月服务费,降低价格门槛。此外,降低技术门槛,在设计时应面对非专业人员,让信息安全产品更加简单易用。

首届信息安全创意征集大赛作品。

加入免费WIFI需谨慎

        来自上海交通大学的姜开达老师则在会上向大家讲解了黑客大会传统的“绵羊墙”(Wall of sheep,与会黑客将一些使用现场无线网络的粗心用户的用户名和密码写在一面墙上)。直到此时,现场的很多记者才意识到,自己此前连接的无线网络被“动过手脚”,通过这个网络发送邮件或传输其他文件,信息就已经被第三方获取了。

        随着新技术、新产品越来越多,我们身边的信息安全隐患在增加,但与会专家指出,也不必过于担心,因为任何产品都有安全问题。“最大的威胁,恰恰是不知道威胁从哪里来。问题发现得越多,今后可能反而越安全。因为发现了问题,后续肯定会解决。”

        据《第34次中国互联网络发展状况统计报告》显示,截至2014 年6月,中国网民规模达6.32亿,互联网普及率为46.9%,手机网民规模达到5.27亿,手机上网的网民比例为83.4%,首次超越80.9%的传统PC上网比例,互联网发展重心从“广泛”向“深入”转换,移动金融、移动医疗等移动互联网应用,带动了整体互联网各类应用的发展。

        当我们的生活越来越依赖网络,也意味着面临的网络安全风险越来越复杂,网络诈骗、信息窃取、恶意软件等一系列信息安全问题层出不穷。“克隆”账号冒充好友借钱、换手机号未解绑手机或支付应用端导致个人钱财损失、玩微信小游戏丢了个人信息等安全事件历历在目。2014年9月,国家互联网应急中心对木马、僵尸程序活动状况的抽样监测显示,中国大陆地区1,042,303个IP地址对应的主机被木马或僵尸程序秘密控制,被篡改的网站达11,152个。

        姜开达告诉澎湃新闻记者,作为普通市民,养成良好的上网习惯,注意生活中一些小细节,就能使自己的个人信息和财产免受损失。平时“蹭网”有风险,不要随便加入无需密码的公共免费WIFI。手机商店中五花八门的应用软件背后也可能隐藏黑客的邪恶之手,应当尽量选择一些官方发布的应用软件。

    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报
    #黑客#网络信息安全

            扫码下载澎湃新闻客户端

            Android版

            iPhone版

            iPad版

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈