【51CTO.com原創(chuàng)稿件】萬物互聯(lián)時代，智能手機、智能穿戴、智能汽車、智能家居，乃至智能機器人等智能化設(shè)備正出現(xiàn)在人類生產(chǎn)生活的各個角落，為人們的工作生活帶來便利。然而，與此同時各種各樣的新安全威脅也隨之慢慢凸顯。例如：攻擊者可以通過智能攝像頭的漏洞時刻監(jiān)視你的一舉一動，攻擊者遠(yuǎn)程控制智能汽車隨時可以實現(xiàn)啟動等操作……

立足未來安全，洞悉智能生活安全風(fēng)險

萬物互聯(lián)互通時代，如何讓智能設(shè)備更好的服務(wù)人們的生活，守住安全大門?8月30日，由國家信息安全漏洞庫(CNNVD)指導(dǎo)，北京未來安全信息技術(shù)有限公司主辦，螞蟻金服安全響應(yīng)中心、百度安全共同支持的“XPwn2018 未來安全探索盛會”在北京召開。

XPwn旨在幫助廠商發(fā)現(xiàn)并解決智能設(shè)備上存在的安全問題，并及時進(jìn)行修正，從而提高產(chǎn)品安全質(zhì)量，提高廠商的安全意識，促使民眾和廠商更加注重安全，為社會帶來更大的價值，讓智能設(shè)備更好服務(wù)生活。與往屆XPwn相比，本屆在關(guān)注現(xiàn)今生活比較流行的信息領(lǐng)域的安全問題的同時，更加關(guān)注未來信息技術(shù)領(lǐng)域的安全問題。讓大眾對智能安全問題進(jìn)行重視，讓未來的生活更加安全、美好。

在致辭中，XCon&XPwn創(chuàng)始人、北京未來安全信息技術(shù)有限公司CEO王英鍵表示：“我們希望通過XPwn傳播發(fā)現(xiàn)的安全問題，并讓廠商和民眾重視安全問題，提升安全感。同時，希望傳播安全思想，發(fā)揚極客精神。我們還希望，未來把XPwn活動作為一個常態(tài)，持續(xù)不斷向大家發(fā)布安全問題，讓大家認(rèn)識理解安全問題的存在，讓安全研究人員被大家理解，得到更好的支持，讓安全研究員做出更好的貢獻(xiàn)。”

百度安全事業(yè)部總經(jīng)理馬杰也表示：“XPwn上有很多非常有價值的議題。黑客這個詞的英文本義是Hacker，沒有黑白之分，我們做的是對系統(tǒng)的探索，是對本質(zhì)的追求。我們要探索世界、改變世界。我們要用開放的心態(tài)迎接未來的變化，讓世界更加美好。”

XPwn黑客高手展“神技”

會上，來自螞蟻金服光年實驗室、百度安全實驗室、未來安全胖猴實驗室、中科院信工所和復(fù)旦大學(xué)等機構(gòu)的破解選手，演示了破解智能收銀機、智能門鎖等多個物聯(lián)網(wǎng)智能設(shè)備的過程，雖未詳細(xì)透露破解細(xì)節(jié)卻提供了解決方案，幫助大家守護智能設(shè)備安全。

◆我吃飯你買單，黑客帶你免費吃大餐

來自百度安全實驗室的安全研究員和復(fù)旦大學(xué)白澤戰(zhàn)隊都選擇了破解智能收銀系統(tǒng)。目前，一般商戶通常不具備安全意識，這給黑客帶來了可乘之機。據(jù)介紹，一旦黑客攻破了智能收銀系統(tǒng)，便會讓商戶帶來直接的經(jīng)濟損失，黑客不但可以“免費吃大餐”，甚至還可以悄然不覺偷走商戶的錢，篡改商戶的訂單。

安全研究人員還介紹到，這些漏洞的影響范圍巨大，至少有數(shù)十萬臺設(shè)備會受到影響，如果這些漏洞被黑客利用，一般商戶或許會遭到巨大的損失。這些漏洞的發(fā)現(xiàn)有助于讓商戶提高自己的安全防范意識，保護自己的權(quán)益。

◆物聯(lián)網(wǎng)設(shè)備存在多個漏洞，或被黑客劫持

從智能門鎖到路由器，物聯(lián)網(wǎng)中每個設(shè)備都可能成為黑客的目標(biāo)。來自未來安全的胖猴實驗室和中科院信工所，為大家展示了物聯(lián)網(wǎng)設(shè)備被攻破后帶來的嚴(yán)重后果。據(jù)胖猴實驗室安全研究員介紹，當(dāng)漏洞被黑客利用后，智能門鎖將形同虛設(shè)：黑客利用漏洞將智能門鎖的固件變成自己的，他們可以用任意密碼打開你的大門，當(dāng)這種情形發(fā)生后，你家中的財物便會不翼而飛，如果在公司，后果更是不堪設(shè)想。

路由器是時下必不可少的物聯(lián)網(wǎng)設(shè)備之一，來自中科院信工所的安全研究員利用漏洞攻破了路由漫游系統(tǒng)，另一組安全研究員則攻破了某知名廠商的商用企業(yè)路由器。用戶瀏覽網(wǎng)站時會被黑客劫持到指定頁面，黑客可以利用頁面植入木馬，或進(jìn)行詐騙。而這些漏洞的研究有助于推動行業(yè)了解黑客的攻擊手法，增加保護機制，從而減少黑客的攻擊。

◆一錘定音，手機電腦被黑客接管

會議中，來自螞蟻金服安全實驗室安全研究員為大家展示了攻破某手機瀏覽器和OS X系統(tǒng)。螞蟻金服光年安全實驗室的安全研究員僅僅讓用戶點擊了一個網(wǎng)頁鏈接，便監(jiān)控了瀏覽器此后的所有上網(wǎng)行為。比如，獲取用戶的瀏覽網(wǎng)站內(nèi)容、盜取登錄憑證、盜取用戶名和密碼。也就是說，各類賬號均在黑客的掌握之下。

此外，Mac電腦也不是絕對安全的。螞蟻金服光年安全實驗室的另一組安全研究員展示了如何攻破OS X系統(tǒng)，攻擊者最終可獲得內(nèi)核權(quán)限，完全接管受害者運行macOS的電腦，實現(xiàn)多種惡意行為。

用極客方法抓娃娃

除了以上專業(yè)議題內(nèi)容，XPwn還邀請了兩位抓娃娃機的網(wǎng)紅高手在現(xiàn)場為大家演示了一把。抓娃娃機的高手能把一個娃娃機瞬間清空，他們是怎么做到的呢?

其中一位多次獲得抓娃娃冠軍的網(wǎng)絡(luò)高手“堂主”告訴大家，他曾經(jīng)以為抓娃娃是“騙局”，不過后來發(fā)現(xiàn)，這里面其實是有技巧有學(xué)問的，抓娃娃機的型號、大小、爪機模型等等都是不一樣的，不但是有算法和概率，還有甩爪、別爪等各種技巧。

而另一位抓娃娃網(wǎng)紅解先生介紹說，其實抓娃娃不僅僅要練技巧，還要動腦子，比如盒子怎么抓，不能選爪子的時候，怎么把爪子插到娃娃的標(biāo)簽里勾出來……他表示，真正的抓娃娃玩家心中都有一個底線，盡量不會清機的。

一個安全峰會，為什么要請來抓娃娃界的快手紅人來演示? XCon & XPwn創(chuàng)始人王英鍵表示，這是一種極客精神和黑客的精神，是對于一些很多問題不斷的探索去追究、去挖掘的精神。抓娃娃從一開始和黑客、研究安全都是一樣的，都是在對某一件事情，在某一個點上產(chǎn)生了濃厚的興趣，為了任何一個東西，發(fā)現(xiàn)他的特點，然后找到他的機制(進(jìn)而解決這個問題)。

安全離生活并不遙遠(yuǎn)，XPwn讓未來安全走向大眾

據(jù)悉，XPwn2018極智未來未來安全探索盛會的目的不僅僅在于發(fā)現(xiàn)問題，更重要的是解決問題，同時鼓勵選手帶著解決方案來XPwn披露漏洞，演示從發(fā)現(xiàn)到解決的一系列過程。此次盛會不僅僅面向?qū)I(yè)觀眾，更力求讓大眾增進(jìn)對安全的了解和認(rèn)識，讓大眾明白安全離生活并不遙遠(yuǎn)，同時，也讓大家懂得極客和黑客精神的內(nèi)涵，讓智能生活更加先進(jìn)與安全。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】