10月24日至25日,GeekPwn2018国际安全极客大赛在上海举行。经历了24日紧张激烈的技术比拼和项目挑战,大赛来到了第二个比赛日。选手们通过不同的技术手段实现了对比赛项目中智能设备及网络设备的攻破。极棒大赛颁奖仪式在所有项目结束后进行,表彰选手们在本届大赛中的精彩表现。其中f1yyy@长亭科技凭借VMware虚拟机逃逸、清华大学T3JRC团队凭借DNS劫持、伏宸安全实验室团队凭借指纹硬件加密U盘破解分别被授予“极棒名人堂团队”奖。
此次GeekPwn2018以人“攻”智能为主题,近百名全球顶尖安全极客来到上海的舞台展示最前沿的信息安全技术。大会旨在通过预演潜在风险、拓宽安全思维、帮助智能设备更加安全地问世、协助人工智能健康成长。GeekPwn所代表的安全极客们正在通过不倦的努力,为人们提供安全的智能生活。
极限破解挑战继续,安全极客带来精彩分享
在中小企业及家庭网络生活中,网络设备安全的重要性不言而喻。针对网络设备的攻击是GeekPwn舞台上的传统挑战项目,在此次GeekPwn大赛上,四组选手对不同品牌的多款网络设备发起了挑战。
explorer_z@长亭科技利用缓冲区溢出漏洞远程获取群辉DS115jNAS系统的最高权限;轩辕SRG@VARAS利用漏洞分别获得思科、D-Link两个品牌路由器的shell;李泽@看雪智能硬件小组利用命令注入,缓冲区溢出等漏洞远程获取友华通信光猫的shell;而来自韩国的两位选手则利用NETGEAR路由器安全漏洞获取了设备最高权限。正如前几年于GeekPwn舞台上发现的漏洞一样,这些漏洞将继续反馈给各厂商,以进一步修复和改进设备的安全性。
腾讯安全移动安全实验室选手成功完成“黑客屋挑战赛“
智能设备的普及为我们的日常生活提供了诸多便利,然而目前市面上主流的智能设备的安全性并不完全值得信赖。在“黑客屋挑战赛”上,来自腾讯安全移动安全实验室的两位选手通过互联网对“黑客屋”里的智能音箱、智能摄像头、扫地机器人等一系列智能设备远程发动全面入侵,通过诱导用户点击一个恶意短信链接,利用多款设备漏洞逐一渗透并获取了内网中智能设备的控制权限。
来自腾讯安全移动安全实验室团队的另一组选手则利用一系列智能门锁存在的安全漏洞,在不接触用户手机不接入用户WiFi的情况下,成功远程打开豪力士、奥哲美、优点等三款智能门锁;而来自小猪矿主团队的选手利用一系列设备漏洞演示了从智能音箱中植入木马和诱骗用户点击链接两种攻击入口,进一步攻破内网其他设备,获取了喜马拉雅小雅AI音箱、tendaac18路由器、hisilicon摄像头等智能设备的最高权限,使用所有设备进行挖矿。此次极棒大赛舞台上选手们针对一系列智能设备的攻破展示再一次为智能生活的安全性敲响了警钟,同时也提醒广大智能设备软硬件厂商引起对于安全漏洞的重视。
奖项颁布,安全极客冲击最高荣誉
所有比赛项目进行完毕,GeekPwn2018为所有参与比赛项目的优秀团队及选手举行了颁奖仪式。命题挑战赛,IYSWIM、OWLET、TSAIL分别取得CAAD CTF大赛的前三名;“数据追踪挑战赛“经过线上赛的激烈角逐,成绩排名前六的战队脱颖而出,凭借着优异表现,EATWOLF和小安团队获得并列第一名,cavemaster则获得第三名。
机器特工挑战赛的八支参赛队伍自主设计的机器人经过激烈比拼,来自美国的OP-USA战队获得第一名,斩获了15.5万人民币的奖金,阿凡达团队获得第二名,第三名则由本次极棒大赛唯一一支高中生战队玖_死_壹_生团队获得。人类史上首个去除马赛克的项目“GAN掉马赛克挑战赛”经过十轮线上赛,第一名是来自中国海洋大学水下视觉实验室的选手杜昂昂,获得1.024个比特币;腾讯安全移动安全实验室也凭借着”黑客屋挑战赛“上的优异表现成功获奖。
极棒比赛项目全体选手合影
破解挑战赛项目,f1yyy@长亭科技凭借VMware虚拟机逃逸项目获得极棒名人堂荣誉及最佳技术奖,总计奖金45万元;清华大学T3JRC团队凭借DNS劫持入选极棒名人堂,获得奖金25万元;伏宸安全实验室凭借梁信科技(DM)PD061 USB3.0指纹硬件加密U盘破解,获得名人堂荣誉以及极客精神奖,奖金累计16万元;小猪矿主团队凭借着对多款智能设备的破解荣获最佳展示奖。
而在其它破解项目挑战项目表现优异的团队均获得优胜奖,如AMC团队利用OPPO R17手机操作系统漏洞,通过安装一个恶意APP用高权限调用其它组件,绕过私密相册身份验证而实现破解。
经过为期两天的技术挑战,比拼以及分享,GeekPwn2018国际安全极客大赛已经落下帷幕,选手们带来了精彩的黑客技术展示,为观众献上了最前沿的安全技术盛宴。如今已经是GeekPwn走过的第五个年头,五年以来,极棒一直努力打造最前沿的人工智能与专业安全的技术平台,汇聚全球顶尖安全极客,消灭了数百个严重安全威胁漏洞。未来,极棒也将继续致力于推动AI安全的发展,为未来的智能生活安全提供更大的助力。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。