有這樣一群人，兼具吸血鬼與灰姑娘的人格特質。他們鑽盡牛角尖挑這個世界的刺兒，直到真的如他們所料發現了問題；他們又勤奮溫馴，如灰姑娘一樣受到神仙教母的眷顧，飛上枝頭當鳳凰，年紀輕輕就已舉世聞名。

　　這兩種令人又愛又恨的矛盾性格，非但沒有搞得他們精神分裂，相反，與他們的機體相得益彰，使他們成為全世界最有價值的人群之一。

　　他們是一群“黑帽子”

　　北京時間8月7日淩晨，2014世界黑帽子大會在美國拉斯維加斯召開，全世界1萬顆黑帽子齊聚一堂。駭客們把這一年來廢寢忘食發現的各種資訊安全領域的“不完美”，拿出來交流，目的是在真正的邪惡勢力利用到這些“不完美”之前，創造更好的生活。

　　黑帽子大會的門票，像飛機票一樣價格浮動，訂得早的，打個6折樣子，但總的來説票價不便宜——訂得早1000多美金，晚了就一口價2200多美金。

　　為什麼這麼貴？牛人多唄！他們用最平常不過的一些硬體，就可以瞬間顛覆你以往認為安全得沒跑的事物；他們可以黑掉你認為比保險箱還堅不可摧的系統，來提醒大企業，這個漏洞太危險……

　　2014年黑帽子大會的議題，分成“應用安全、網際網路延伸到各類設備（汽車、工控設備）的安全、移動網際網路安全，網路審計、取證”等幾大領域。從這個角度討論問題，就相當於我們站在虛擬世界不同的經緯度上，俯瞰這張由網際網路和網際網路衍生設備組成的大網路，了解這張網的疏密、佈局和人們生活的聯繫。

　　黑帽子大會現場

　　安卓系統被找茬 涉及99.9%的用戶

　　Bluebox的技術總監Jeff Forristal今年又一次找了安卓的茬兒。他在黑帽子大會上，首次演示了如何利用安卓系統的一個應用漏洞，惡意攻入安卓系統手機。

　　不要以為這只是駭客之間無事“拗技術”的把戲，它確實涉及到超過全球99%的安卓系統用戶的資訊安全。

　　通常，安卓系統的用戶下載一個APP，會不斷有彈窗出來提示：安裝軟體需要打開您的GPS功能，或者需要開放通訊錄功能等，只有你確認了才能安裝，就算沒有經過這一系列許可權強行安裝了，系統也會崩潰沒法啟用。

　　但是在Jeff手裏，一個惡意APP應用可以逃脫這些正常的許可權，在用戶不知情的情況下獲得安全特權。然後安然“臥底”在你的手機裏，並且跟所有的病毒一樣，它還要不斷地“策反”手機裏所有的正常軟體，直到全變成一般黑的“烏鴉”。

　　這意味著什麼呢？作為這部智慧手機的“總統”，你已經是美劇《紙牌屋》裏的“傀儡”總統了，因為整個手機的“黑道”惡意應用，已經可以無縫竊取用戶的數據，在特定場景下甚至完全控制Android設備。

　　這個漏洞影響所有 4.3系統以下的用戶（4.3是今年才出的系統）。

　　“不誇張地説，這可能涵蓋了99.9%的安卓用戶。”科技有限公司總裁范淵説，可能有10億的用戶，都會受到威脅，所以全世界都有理由來關注這個問題。

　　Jeff的這個發現，也給安卓系統構建商出了一題，不趕緊修補漏洞，利益、聲譽損失太慘重。

　　車子越智慧 越容易被“黑”

　　大會上，來自美國的“黑帽子”harlie Miller和Chris Valasek，模擬演示了遠端控制別人汽車的過程。

　　“越來越智慧的汽車，車身就是一個小網路，如果這個網路的圍墻‘透風’，也就是被外部連接上這個網路，那麼僅僅一點縫隙，都很可能被人反控全局——你的車既然有功能可以做到不需要你而自動泊車，也可能被人進攻，變成不需要你也能開車。縱然你雙手把著方向盤，車也不一定再由你控制。”

　　所有的交通工具，只要有控制網路系統就會遇到同樣的問題。比如飛機，現在坐飛機，越坐越不無聊，十幾個小時的旅途，前面椅背上的平板電視，一堆可點播的影視劇，這種享受，建立在飛機構建了自己內部的無線網路基礎上。

　　但是這個網路如果搭建不嚴密，運作密碼被破解，飛機的導航系統就會被侵入，影響飛行安全。

　　“我們展示出這項攻擊，希望製造商加強智慧交通工具的安全保障，比如控制訪問許可權等，將來的製造商團隊，應該有一支強大的資訊安全團隊。”

　　一整天不停地聽駭客講各種漏洞、各種攻擊，就越感到平時我們上網都像是穿著皇帝的新裝，自己認為安全，在攻擊者眼裏早就“裸奔”。（李煒）