黑客白话：客厅的路由器会出卖你

本篇文章1840字，读完约5分钟

就像硬币的两面一样，物联网智能家居和黑客攻击正在经历一场漫长的游戏。

有这样一个真实的场景:一个消费者走进一家咖啡馆，在商店里连接上无线网络，收发电子邮件，登录网上银行。结果，商店中的无线路由器被黑客劫持，消费者的电子邮件地址和网上银行密码被获取，完全暴露给黑客。

全球黑客大赛极客网(geekpwn)创始人、上海白帽黑客团队记(hk stock 0211)N首席执行官王琦告诉《中国商报》记者，国内互联网厂商的产品存在各种系统漏洞，危及资金和隐私。黑客大赛的目的不是盲目寻找各种漏洞，而是帮助制造商提高产品的安全性。

路由器漏洞下的风险

19日下午，一名白帽黑客向记者展示了通过路由器获取用户网上银行密码的全过程。咖啡馆里的Wifi路由器因为自身的漏洞被黑客通过dns解析劫持。当消费者从搜索网站进入网上银行时，他们实际上是跳转并登录到黑客制作的假银行镜像网站，但他们的域名和页面与真正的银行网站完全相同。当消费者输入网络名称和帐户密码时，他们实际上是以明文形式直接发送给黑客。

在这个过程中，消费者在操作中没有犯任何错误。咖啡馆不知道它的路由器被黑客劫持了。主要责任指向路由器制造商，产品本身的安全漏洞很容易被黑客破解。王琦表示，他们的团队将市场上常见的路由器产品列为黑客竞争的话题，结果无一例外都被玩家打破。

目前，从智能门铃到智能空，智能家电占据了消费者的客厅和卧室。这些设备只能通过无线网络(或蓝牙)联网，而家中的无线路由器相当于各种智能电器的通用网关。一旦由于漏洞被黑客劫持，就意味着这些设备已经在黑客的控制之下。

黑客攻击wifi或无线路由器的能力有多强？一名白帽黑客向《中国商报》记者讲述了一个个人故事。他之前去过新加坡参加一个黑客会议。在黑客聚集的会议厅里，他只打开了手机的wifi功能，但他突然发现自己的手机自动连接到了上海的办公室wifi上。回到酒店后，他迅速关掉手机，更改了所有密码。

“用户可以做的是尽可能多地使用复杂的密码，并在不同的字段中分别设置密码。如果你必须在公共场所连接wifi，不要登录网上银行，甚至收发电子邮件，使用3g或4g网络。”王琦建议这样做。

进攻和防御战

出生于科技领域的王琦在微软安全反应部门工作了七年后，开始了黑客竞赛极客网。他的初衷是找出漏洞，通过玩家的模拟攻击帮助制造商提高网络产品的安全性。“微软视窗系统的安全性已经很强了，但是仍然有各种补丁推出。这些国内初创企业生产的软硬件设备是可以想象的。”他说。

例如，用于支付的pos机变得越来越智能。它们过去可以连接到电脑上，但现在可以连接到手机上。然而，黑客可以利用pos机的漏洞进行重放攻击，也就是说，重放以前消费者的刷卡行为相当于花别人的钱去刷自己的卡。金钱和隐私总是用户最敏感的神经。

幸运的是，微软的安全响应部门所做的事情越来越受到制造商的关注。阿里的“神盾局”、携程、JD.com等。都在做信息安全防范工作。然而，后台系统的漏洞被第三方监控机构发现，集体泄露用户密码等事件仍层出不穷。

一位信息安全人士告诉《中国商报》记者，互联网公司之间的口水战非常普遍，公关层面的对抗只是一场明争暗斗，暗中雇佣黑客攻击对手的后果将更加严重。例如，在一些o2o项目中，黑客可以在一分钟内订购美甲，或者同时调用1000辆专用汽车。“抓住漏洞，控制系统，就很容易攻击他们想要的任何东西”。目前，已有上市公司市值因黑客攻击瞬间蒸发近一半的案例。

geekpwn、pwn2own和defconctf等黑客竞赛的价值越来越反映出社会的普遍性。在极客网络的头两年，一些参赛者使用黑客技术控制特斯拉汽车、无人驾驶飞机和其他设备，这让现场感到尴尬。然而，这些都是利基领域，而公共wifi，移动支付，o2o，智能家居等。被广泛使用。参赛者尽最大努力找出这些领域的漏洞，并试图通过黑客技术来控制它们。在去年10月举行的第二届极客网络大赛中，一些参赛者通过破解https加密获得了42万元的奖金。

对于比赛的组织者来说，很遗憾的是，去年很多在世界上很受欢迎的白帽子黑客(比如一个被韩国军方训练的年轻黑客)因为签证问题没能来上海参加比赛。在今年的比赛中，又增加了5月份的澳门比赛。今年，黑客将攻击智能手机、智能交通、智能服装、智能家居等领域。

王琦告诉记者，一开始，他想举办一个非常高的黑客竞赛，这尊重技术难度，但中国的安全形势令人震惊。一些制造商的安全漏洞太低，无法利用，国内信息安全环境需要改善。