|
|
|
[i,产 哥 说 [/i,
[i,攻防对抗,红蓝相争,隐真与示假,伪装与拆穿。[/i,[i,鹅厂有群程序员,“战斗”是他们的常态,在代码背后“隐秘的角落”,他们7*24小时与网络入侵者拆招互搏。
[/i,[i,[i,1024特别故事[/i,,今天,产哥为大家介绍这群[i,程序员的一门绝技。[/i,[/i,
▼
腾讯有一群身怀绝技的程序员,能看到隐藏的世界。
我们看到的是手机,他们看到的是一部部装备有窃听功能的“武器”。
我们看到的是智能汽车,他们看到的是一台台“行走的肉鸡”,随时可以攻破。
我们看到的是充电桩,他们看到的是一个个免费加油站,只要一张别人的车身细节照片,随便充电不花钱。
这个由一行行代码组成的隐藏世界,不只他们看得见,互联网上的入侵者也同样看得见。
他们的任务,就是在隐藏世界中与网络入侵者战斗,在我们看不见的代码空间里,默默守护每个用户的安全。
[i,你的生活,可能正在被“窃听”?[/i,
在电影《窃听风云》中,正反两派通过布置偷听和监视仪器窃取情报,展开殊死搏斗的故事精彩无比。
现实中,真实版的“窃听风云”正在我们身边上演。
手机、录音笔、智能音箱······这些生活中再常见不过的东西,很有可能正在监听你的生活。
并非耸人听闻,近年来手机远程窃听攻击已成为生活中频发的真实黑客攻击案例、隐藏布置录音笔等电子收音设备进行窃听的情景,也并不只存在于电影中。
腾讯安全云鼎实验室最近做了一项研究:应用音频算法和声波控制技术,自制出的录音干扰设备可以破坏手机、录音笔及各类电子录音设备的收音,在特定场景下实现“反窃听”。
[i,云鼎实验室自制的简易录音干扰装置[/i,
比如有人在办公室内恶意隐藏了电子窃听设备,如果里面放有这个录音干扰装置,最后只能一无所获。
[i,正常录音效果VS干扰录音效果[/i,
为了尽可能多地覆盖和还原真实窃听场景,云鼎实验室研究团队前后对数十种录音设备进行了分析和干扰测试。
[i,研究员的桌面一角[/i,并在各种场地进行“反窃听”效果试验,这些工作画面拼凑起来,本身就很像《窃听风云》了。
[i,研究员在用3D打印机打印反窃听设备组装材料 [/i,
经过三四个月的反复调试优化,这个技术已经可以实现对不同品牌手机和录音笔等十多种电子设备,进行成功的录音干扰。
未来,云鼎实验室将继续相关研究,从网络安全的角度帮助行业和用户对抗非法窃密行为。
云鼎实验室安全研究员Murphy说:“万物互联网时代,身边的电子设备、智能设备无处不在。不仅个人信息在网络空间存在‘裸奔’的隐患,每个人的人身隐私也面临着偷拍、窃听的风险。希望我们的研究可以帮助更多人保护个人隐私,也借此提醒大家加强安全防范意识。”
[i,你以为的你爸爸,就是你爸爸吗?[/i,
聊完窃听,再说一个你可能碰到的场景:
有一天你收到一条你父亲手机号发送来的短信,告诉你他在老家生病住院了,需要你转一笔钱,你会怎么办?
相信你会很着急,甚至第一时间按照他给的账号转账过去,因为确认过号码是他的没错。
但是产哥告诉你,他可能压根就没发过这条短信,他的手机也没有被别人拿走使用。
换句话说,你以为的你爸爸不一定就是你爸爸.....
是不是有点绕,那让腾讯安全玄武实验室研究员告诉你是怎么回事。
“这种情况很可能是5G手机通信被黑客劫持了,通过伪造手机号发送的诈骗短信。”玄武实验室研究员hyper告诉我们。
这是腾讯安全玄武实验室最新5G安全研究成果的其中一项应用实例:
利用5G通信协议的设计问题,黑客可以“劫持”同一个基站覆盖下的任意一台手机的TCP通讯,包括各类短信收发、App和服务端的通信均有可能被劫持。
这意味着用户收到一条显示为“955**”的银行短信或者App消息推送,就有可能来自未知的恶意用户。
黑产团伙可以利用这个漏洞实施多种形式的攻击,例如伪造银行向受害者发送短信告知异常交易,引导受害者去点击一个链接,实际上这个链接被植入木马,可以窃取受害者银行卡信息;
也有可能伪造受害者的手机号向其家人发短信,提出转账或者其他要求;
甚至劫持任意HTTP访问,造成用户账号密码等敏感信息泄露。
“5G手机越来越普及,随着通信技术的升级换代,从整体上看5G通讯在安全性上有了更大的保障,但并不意味着我们可以对5G安全问题掉以轻心。”hyper说道。
为了做好这项研究,玄武实验室团队没少花力气。光是查看的各种5G协议文档,就有差不多5000万字。
加上对各种5G终端设备的反复测试,前前后后花了三四个月。
就在今天,腾讯安全玄武实验室研究员还向产哥演示了一把,怎么伪装成任意一个手机号发送短信。
玄武实验室表示,将把这个漏洞尽快上报给相关机构进行修复,避免用户受损。
[i,电动车省了油,还能免电费?[/i,
随着新能源、新基建和AIoT技术的进一步发展,智能化和电动化已经成为现代汽车行业发展的大势所趋,新能源电动车也越发成为人们出行的选择。 因此,停车场里的充电桩也越来越多,特别是“无感支付”充电桩的出现,更进一步方便了电动车主们即停即充、即充即走,通过app就能自动扣费。 如果有人说,电动车不仅能省油费,还能把这个电费给省了,你会不会纳闷居然还有这种“骚操作? 在极棒2020国际安全极客大赛户外现场,来自腾讯安全平台部的Blade Team研究团队就现场秀了一把操作。 他们用几步看似简单的操作,通过自制的设备,将无感支付充电桩和电动汽车链接在一起,再修改了相关通信信息—— 只见“滴”的一声,这边的汽车成功启动了充电,但扣的却是“伪造”的一辆毫不相关的无辜“受害车”车主的钱。
[i, 极棒2020,腾讯程序员现场“搞车”[/i, 然而,在这几个看似毫不费力的简单操作背后,隐藏着的却是Blade Team研究员数月的研究心血。他们跑遍了多个城市的停车场,各个型号的充电桩、各种款式的新能源汽车都翻来覆去研究了一遍,团队所有成员的汽车都测完了还不够,还把亲朋好友的车也都借来研究。 因为他们知道,充电桩组成的这张庞大的电力网,是新基建的重要组成部分。基建从传统的物理世界过渡到数字世界,无疑也会让许多薄弱环节暴露在恶意的目光下。 “在攻击过程中,攻击者只需要拍一张受害车辆车身细节的照片,就能获取车辆信息并利用无感支付的充电桩通信协议漏洞去轻松完成盗刷操作,所以这种方法一旦被黑产掌握,非常容易被大规模恶意利用。”Blade Team高级安全研究员Nicky解释道。现在越来越多消费者购买新能源汽车,国内充电桩的数量也在飞速增长。一旦这种网络安全漏洞被不法黑客利用,将会给用户造成巨大的财产损失。 Blade Team表示,将通过GeekPwn主办方尽快把该漏洞研究成果提交给相关厂商并协助修复。作为一个致力于互联网前沿攻防技术研究的团队,希望未来可以帮助大家揭示新基建技术在更多行业应用中可能遇到的安全风险。
▼
以上,只是隐藏世界里的很小一部分。
随着5G、AI、云计算等网络技术的兴起,以及新基建领域的快速发展。我们的衣食住行有了更多便利和新奇体验,但在这一切背后,是更多新型网络攻击手段和安全问题的涌现。
作为行业领先的安全研究机构,腾讯各安全团队一直在探索包括5G、物联网、人工智能、云计算等在内的新型产业安全领域。
那种在消费互联网时代守护腾讯亿级体量用户培养的使命感和自豪感,也变成了一种很自然的延续。
“产业互联网的发展,拓宽了网络安全探索的边界,当我们完成一个新的产业安全课题时,那种帮助到企业和背后用户的感觉是很兴奋的。”腾讯安全研究团队成员说道。
产哥想说,腾讯这群安全程序员,就像隐藏世界里的“超级英雄”。他们在我们看不见的空间里,7*24小时与网络入侵者战斗。
我们对网络生活早已习以为常,感觉风平浪静。但我们享有的平静,正因为他们在隐藏世界中战斗与守护,才充满安全感。这种安全感,是一切个人和公司创新发展的基础。
[i,你还见识过哪些有绝技的程序员? [/i,
欢迎评论区留言给产哥,没准下次产哥就把话筒递给他~
[list,
[*,这张“标准”成绩单,你打几分?
[*,深圳40年,敢为天下先!
[*,为了让直播更“健康”,腾讯和虎牙建了一个实验室
[*,腾讯自动驾驶云仿真技术获2020全球新能源创新技术大奖
[*,今天,腾讯和周深一起,为你讲个关于“声音”的故事……
[*,[i,第二届“科学探索奖”,50位科学家获腾讯1.5亿元奖金[/i,
[/list, |
|
发表于 2020-10-25 02:48:32
