世界上有这么一群人,当你拿着iPhone X,升级到最新的iOS 12 系统,坐在咖啡厅里连上公共WiFi时,他们靠着自己高超的电脑技术和创造力,可以侵入你的手机,浏览你最近删除的照片,甚至把它们下载下来。
今年11月,聚集了世界顶尖白帽黑客的东京 Mobile Pwn2Own 大会上,Amat Cama 和 Richard Zhu 组成的二人组,就通过 Safari浏览器的漏洞,攻破了苹果公司的 iOS12系统,下载运行iOS12系统的iPhone X中已被用户删除的文件,赢走5万美金。
他们团队还在运行安卓系统的三星Galaxy S9和小米Mi6上,故技重施,找到了同样的漏洞。而这一切发生的前提,只需用户连上公共WiFi。
根据Mobile Pwn2Own的比赛规则,漏洞已被告知苹果公司和安卓系统供应商。《福布斯》网络安全专栏作者Thomas Brewster称,“不仅仅是照片,理论上这种强大的黑客攻击可以从目标设备中获取任意数量的文件。”
Amat Cama(左)和Richard Zhu(中)
据不完全统计,全世界约有十几万白帽黑客。他们年龄大多在18-30岁,擅长自学,用侵入式技术挖掘市面上智能产品的漏洞,协助软硬件厂商及时堵住安全漏洞,提高产品的安全设置。
在Pwn2Own世界顶级黑客大会上,中国第一批白帽黑客创立的团队碁震 KEEN,曾赢得大会最高荣誉:白帽黑客大师。他们连战三年打破历史,成为黑客大赛上获胜次数最多的亚洲团队。
KEEN团队的首席科学家吴石,甚至被《福布斯》杂志评价为“发现的漏洞是苹果整个安全团队的两倍还多。”
KEEN的创始人兼CEO王琦,行业内被称作“大牛蛙”。他是微软(中国)安全响应中心ChinaMSRC创始人之一,微软亚太区第一个漏洞研究领域专家级研究员。
“这世界上只分两种人,一种是被黑过的,另一种是被黑不知道的,”王琦惯性地对带有麦克风和摄像头的智能设备非常警惕,“我不相信它们的安全性,因为我知道它可能怎么被黑掉。”
一心想要觅得良才的王琦和团队,在2014年筹办了国内白帽黑客大赛——极棒 GeekPwn。此后,每年10月24日,他们都会召集全球黑客前来切磋技艺。大会的“命题作文”中,当下颇受欢迎的智能家居、人工智能等产品一一在列。
黑客似乎天然会被跟“犯罪”扯上关系,即便是白帽子。他们可以破解你新买的手机,在你录入指纹后控制手机后台,允许任何指纹通过验证;也可以攻破你的智能汽车,用漏洞打开车门、自动驾驶……
中国厂商因此对白帽黑客仍有抵触,“你们有拿到过授权吗?”这是王琦常常需要面对的问题。厂商普遍认为,黑客们是在拿漏洞找茬,甚至将他们告上法庭。王琦估算,“有百分之八九十的厂商还是不够重视”。
这个处境让白帽黑客们的日子并不好过。有人依赖黑客大会的奖金过活,有人在IT界有本职工作、做咨询顾问,也有人还是学生,全凭兴趣爱好继续挖掘漏洞。全盘来看,相较于收入高昂、人数近百万的黑帽黑客,白帽子人数寥寥。
王琦坚信,这个世界上既需要乔布斯那样创造技术的人,也需要与乔布斯一起创立苹果,对电子技术狂热的典型黑客——沃兹,需要这类人坚持戴上白帽子,而不是走偏向黑帽黑客。
“漏洞从来不是因为黑客才存在,恰恰是被黑客发现后消灭的。”这是像王琦一样的白帽黑客们,守护这个世界的方式。
不过,白帽黑客的数量和生存现状,也让另一轮重要思考进入公众视野:大数据时代,谁来保护我们的个人信息?
7月,中国产业信息网发布《2018年中国信息安全行业发展现状及发展趋势分析》,数据显示,去年全球约有20个国家9.78 亿人遭受网络攻击,经济损失高达 1720亿美元。其中,中国是遭受网络犯罪攻击最严重的国家,经济损失位居全球第一。
从年初支付宝“年度个人账单”引起的集体焦虑,到全球瞩目的Facebook“数据门”,再到华住酒店集团、万豪酒店大规模用户隐私泄露事件,回看近年越来越多的重大网络信息安全事件,大数据时代,学会保护自己的个人信息已是题中之义。
制作团队简介
厂长语录
“Big Hacker Is Watching You”
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
