在线支付也不见得比刷卡机安全多少。嘟嘟美甲应用接入了支付宝,当用户在应用内选择支付宝支付时,信息被攻击者劫持,返回到支付宝的信息是被更改过的交易信息。
原先我以为指纹支付相当安全,结果他们破解了联想 ThinkPad 的指纹(选手说联想的漏洞比较多,比如直接将指纹信息储存在硬盘里,这样任何一个人以普通的 User 权限就能获得这些信息)和奇酷手机上的指纹解锁(360 方面回应称这个破解需要先解锁手机,然后将手机连接到电脑,认为这种破解没有意义,因为只有丢了手机且没有设置锁频密码的时候才可行。)
我们已经离不开的智能手机也被破解了个遍。尽管安卓系统在安全上有提升,但最新安卓手机仍然一个个中招:小米 4 C、华为荣耀 4A、360 奇酷手机、Nexus 平板电脑都被成功破解。正当我庆幸自己用的是苹果手机时,比赛最后 Keen Team 的张良演示了最新 iOS 9.1 系统的破解,他的破解方式不需要跟你同处一个 Wi-Fi 也不需要物理接触,就能获得你在手机上正登录的网站用户名和密码。
看完这一切有人对王琦感慨,「没有什么是安全的」。
王琦大叫「千万不要这么讲!」他最担心两个事:用户被吓到,厂商感觉被威胁。
安全和方便很大程度上是反义词,反应过度可能会伤害互联网的发展。我有几个极度关心隐私的朋友,他们至今拒绝使用智能手机,一出门就没有微信了,经常给见面造成不便。
这个世界的真相是——没有什么是绝对安全的,但也不是绝对不安全。永远都有两股力量在斗争,一种技术既能被用作好的用途也能被用于犯罪。至少 Keen Team 和参加 GeekPwn 的这些白帽黑客希望将破解技术用在好的方面。
Keen Team 不希望让厂商感觉受到威胁,在比赛前邀请了所有涉及到的厂商到场,这些人比赛后会获取破解细节;那些不能到的厂商,也会在比赛后 3 个工作日内收到安全问题细节。如果这些厂商确认问题存在并愿意修复,这个结果对大家都好。不过 Keen Team 也有尴尬的地方,他们并不能保证企业一定会修复漏洞,所以不排除会在第三方平台上公示这些漏洞。
在安全人员看来,有漏洞并不代表这个产品不好。尤其在移动互联网的今天,安全已经不只是一个应用的安全,即便 A 系统没问题,但跟它连接的 B 系统有漏洞,也会影响到 A,利用嘟嘟美甲修改支付宝交易是这个特征的典型表现。(支付宝在得知破解后特意发通告将自己撇清关系,但真的能完全撇清吗?)前段时间备受关注的 Xcode 事件更如此:苹果系统本身没问题,但整个生态体系有问题,于是让黑客趁虚而入。
幸好今天这些发现漏洞的人已经站在我们这一边。