2014年10月24和25日连续两天,中国最大规模的国际智能设备挑战赛-GeekPwn上,展示了包括iOS8越狱首秀等诸多精彩环节。尤其值得关注的是,360安全路由器和360儿童卫士2相继被到场的白帽子黑客攻破。
GeekPwn是中国国内首次由民间安全团体组织的与国际接轨的大规模智能设备挑战赛。大赛组织者表示,与通常意义上以做破坏为主的黑客不同,白帽子黑客更多是发现漏洞,并且协助厂商修复漏洞,以便让产品越来越安全,支持GeekPwn的大牌厂商如谷歌、微软等愿意为白帽子黑客提供奖金以便修复其漏洞。
但是,活动突起波澜。在360儿童卫士2被攻破之后,奇虎360董事长周鸿祎迅速发出微博否认360儿童卫士2被攻破的事实,并指责活动方和参赛极客是打手和骇客,这些贬义词在安全行业人员中引起巨大情绪反弹。不过,周鸿祎默认了360安全路由器被攻破一事,对此事默不作声。
有意思的是周鸿祎和360方面态度的转变。从最开始的矢口否认漏洞存在,到后来希望GeekPwn提供漏洞细节,然后又变为谁能发现360儿童手表的漏洞,就奖励十万元奖金。10月27日,360安全应急响应中心正式发布微博承认360儿童卫士2存在漏洞:360安全应急响应中心感谢GeekPwn在比赛结束后提供的360儿童卫士2漏洞细节报告。目前,360已完成对该漏洞的修复,我们将按照相应的奖励方案,对漏洞报告者给予致谢与奖励。
那到底360儿童卫士(360儿童手表)为什么之前说没有被攻破呢?笔者与GeekPwn组委会进行了沟通,希望得到事实真相。
据一位在场的组委会成员介绍,活动当天成功演示了针对360儿童卫士的两个功能的攻破:第一个是敏感信息窃取,可以随时随地获得孩子的位置信息;第二个是自动把儿童卫士的手机客户端踢掉线,使家长失去和小孩的联系。
在选手身边现场观看了选手演示全程的三位现场裁判,代表大赛所有评委认可了白帽子黑客通过漏洞实现了针对360儿童卫士的攻破,而实现攻破就意味着,黑客可以通过该漏洞,实现“你知道你孩子在哪里,我也可以知道你孩子在哪里。”这对于使用了360儿童卫士的家庭来说,是一个潜在的隐患。
GeekPwn组委会表示,报告360儿童卫士2漏洞的邮件已经发送给于2014年10月25日下午16:02发送给360漏洞报告中心。在经过最初几天的连续否认后,360在2014年10月27日最终确认360儿童卫士2的漏洞。
GeekPwn组委会表示,愿意协助360修复更多漏洞,进一步提高360儿童卫士的安全度。
