智能手机已经成为智能领域的“高危”产品,一个短信、一条链接,甚至是无处不在的Wi-Fi 都可能对手机造成安全威胁。但是,在GeekPwn2017的舞台上却发生了更加令人“震惊”的一幕——攻击者能够在你毫不知情的情况下,通过一个恶意链接完全控制手机,并完成静默安装恶意APP。
2017年10月24日,GeenPwn2017国际安全极客大赛在上海举办,来自蚂蚁金服巴斯光年实验室的选手在比赛现场演示了一种针对主流安卓手机的全新攻击方式——静默安装恶意APP。
通常针对安卓手机的攻击是需要用户点击下载链接来实现的,而在GeekPwn现场,选手却打破了这样的攻击方式。通过一个恶意的网页链接就可以在手机中植入“木马”病毒,一旦用户打开这条含有“木马”病毒的链接,攻击者就能在不经过用户授权的情况下,远程在手机中强行装入恶意APP。值得一提的是,整个攻击过程仅用了5秒。
毫无疑问,这一漏洞将会给用户带来极大的安全隐患。安卓系统作为全球应用最广泛的移动设备操作系统之一,目前使用人数已达近十亿人次。这也就意味着,有大约亿级用户的手机时刻暴露在危险环境中,而他们手机中的个人隐私信息、图片、网银、支付账户等,都有可能成为“公共”资料。
不仅如此,攻击者利用该漏洞甚至还会“绑架”你的手机,疯狂地给通讯录中的亲友发送短信,扩散病毒。对此,选手在现场表示,在日常生活中如果收到陌生号码发送的短信时一定要提高警惕,不要随意点开陌生链接。
除了针对手机的破解演示外,在GeekPwn2017的比赛现场,还有0元看电影、王者仿声、AI机械臂写欠条等一系列“不可思议”的破解演示。同时,作为全球最大关注智能生活的安全极客大赛,GeekPwn自2014年创办以来,始终坚持负责任披露漏洞的原则。赛后,GeekPwn组委会也会尽快将漏洞细节提交给相关厂商,并协助其修复漏洞,从而消除安全隐患。