document.write('
')

蓝牙耳机定位你,胰岛素泵被“黑客”控制……真的发生了

2021-10-28 16:18:32
作者:中国保险网
124

1、如果酒店送餐机器人的外卖被“调包”……

2、如果糖尿病人的胰岛素泵被“挟持”……

3、如果蓝牙耳机成为跟踪器……如果这些都实现了,会有什么后果?

后果……不言自喻,虽然这些事情听上去匪夷所思,但真实地在GeekPwn 2021国际安全极客大赛上演。

不可否认的是,我们自认为的智能生活其实在黑客眼中却是异常脆弱,用GeekPwn负责人杨泉的话说,就是“数字世界的攻防每天都在我们身边上演”。

01 被蓝牙耳机定位的你

对你来说,蓝牙耳机意味着什么?只是手机的周边,或者是听音乐的工具。

在黑客眼里,蓝牙耳机也可能变成追踪器,也就是说,当你戴着蓝牙耳机听音乐的时候,不远处有人通过蓝牙耳机捕捉到你的位置了。

“戴蓝牙耳机的人在XX路XX酒店附近。”随着电脑屏幕上显示出最终定位,腾讯安全玄武实验室的选手确定了蓝牙耳机的位置,经过戴蓝牙耳机的评委手机定位确认,两者位置一致。

要把蓝牙耳机变成追踪器,需要做什么手脚?

不需要接触到蓝牙耳机,在现场,《IT时报》记者看到,主办方提供的一副蓝牙耳机和选手相距70米左右。选手用10分钟在这副蓝牙耳机中植入代码,当然,耳机佩戴者是感受不到变化的。

图源:极棒

该项目评委、极棒实验室安全研究员宋宇昊告诉《IT时报》记者,被植入代码时,耳机处在开机等待配对的状态,攻击者扫描到这个耳机,并与它配对连接,就能植入自己写的代码。

由此,出现了上述一幕,当评委戴着这副被植入代码的耳机来到不为人知的某处,只要停留几分钟,便为选手提供了远程定位时机。这也意味着,蓝牙耳机已经被偷偷改装成一个“定位追踪器”连接到黑客的电脑,只要戴着耳机,足迹在黑客那里一览无余,由此带来的危害是行动轨迹暴露、隐私曝光。

图源:极棒

一个很普遍的智能硬件,往往因为被忽视了其安全性而存在安全漏洞。在白帽“大牛蛙”王琦看来,这是一种典型的把新技术应用到旧的应用环境的黑客攻击。

“这个项目主要展示了一种新的攻击模式:在蓝牙设备中植入代码,让它可以被追踪定位,目前选手证明了有若干款蓝牙耳机可以被攻击植入代码。”宋宇昊表示。

02 胰岛素泵被挟持,事关上亿糖尿病患者

他,曾是一位“网瘾少年”,现在却用“网瘾”养活了自己。

他叫曾颖涛,在一家搜索引擎公司无线安全部工作。“中国有超过一亿的糖尿病患者,希望更多的研究者关注到医疗器械领域。”在极棒大赛上,曾颖涛通过蓝牙侵入胰岛素泵的控制器,加大了注射剂量,用几秒钟将胰岛素全部推出。

如果这种情况发生在现实中,病人的生命安全很有可能遭到严重威胁。

舞台上,放置着一台全新的胰岛素泵及控制设备,曾颖涛就站在几米开外,和蓝牙耳机一样,通过无接触式技术手段,劫持破解蓝牙通讯协议,近场控制胰岛素泵。“一般在正常的蓝牙通信距离内即可,取决于环境的干扰度,大多数情况下在十米以内。”评委宋宇昊解释说。

糖尿病人的命运已经掌握在“黑客”手中,“黑客”突破胰岛素泵原有注射限制,从胰岛素泵注射出的剂量突然加大,原本需要几个小时才能注射完成的胰岛素在一分钟内就注射完毕,抢夺了胰岛素控制器的权限,让控制器无法正常运行。

图源:IT时报

“泵出来的时候,感觉心脏骤停,太可怕了。”

据《IT时报》记者了解,国内市场已出现了胰岛素泵可以搭载的数据传输软件管理系统,方便糖尿病患者注射胰岛素。在宋宇昊看来,这攻击一旦发生,直接影响生命安全,虽然发生的概率并不大,但也应该引起医疗领域的重视。

03 眨眼间,智能保险箱形同虚设

最新款的智能保险箱一定万无一失吗?

不一定!没有指纹和密码,打开它只需要1分钟。

“这么快?”还没等主持人蒋昌建回过神,舞台上智能保险箱的门就打开了。此前,为了打破质疑,该保险箱密码是由一位观众当场设立的,而“黑客”只是在电脑上稍稍操作了几下。

图源:极棒

据了解,该品牌的保险柜号称采用银行密钥管理系统,在安全系数上具有较高的水准。看似“坚不可摧”的智能保险箱为何变成了“纸老虎”?