中国邮箱网讯 11月3日消息，“GeekPWN！”“GeekPWN！”“GeekPWN” ……舞台中央，被悬挂在GeekPWN字形架子上的70多部智能手机被观众逐一攻破，最终，所有手机的开机画面都被定格在统一的繁星LOGO（“GeekPWN”大赛标识）时，场内外所有人都欢腾了。

10月24日，北京，神秘的“白帽子”黑客第一次以“极客嘉年华”的方式出现在公众面前。作为黑客中的正面人物，“白帽子”借攻破各种漏洞的方式提醒企业对安全设防，就在本次“极客嘉年华”中，除了70多部智能手机外，特斯拉、360儿童智能手环、极路由等等耳熟能详的智能产品都被极客们一一攻破。

然而，这场原本充满惊喜的大赛，却遭遇前所未有的阻力，比赛接二连三因故推迟。在这背后，一场脱离竞技的“博弈”悄然上演，展示了一场真实的“黑客”“漏洞”“生产者”三者间黑与白的“利益较量”。

开场秀上，70多部智能手机被悬挂在舞台中央，主办方邀请7名菜鸟级观众上台，谁能第一个攻破漏洞，更换智能手机的开机画面，谁就能赢走手机。而观众要做的是找到主办方预设的“攻破入口”。不到5分钟，一位年轻的男生举手示意成功，此时，他面前的智能手机开机画面已顺利地显示为本场比赛的标识“GeekPWN”，然后是第二部、第三部……十五分钟后，悬挂着的70部智能手机集体亮起“GeekPWN” 和象征探秘的行星，当星星颗颗亮起时，就像是白帽子们在用常人难以理解的攻破技巧完成一场华丽“恶作剧”。

根据维基百科，GeekPWN 中的“PWN”属黑客语法用词，意指网络游戏中始终是“胜利者”的玩家，而在网络游戏文化中，这个词常用来嘲笑被完全击败的竞争对手，“PWNED”则意指被攻破。

而在这场大赛中，除了选手，想要角逐“PWN”这一称号的，似乎更多是来自比赛外的“特邀选手”。

在第一天的比赛现场，就有人发起了挑战。比赛开始后，当第一个挑战项目Google Nest被成功攻破后，第二个挑战项目——对智能路由器的攻破进行到一半便无法继续。比赛被迫中断，主办方给出的解释是Wi-Fi 不稳定，这样的停滞持续了几个小时，部分参赛选手被告知当天无法继续比赛。主办方只能临时调整参赛项目顺序，提前安排对Wi-Fi信号依赖更低的挑战项目。

一场极客比赛陷入“混乱”，而台下的观众并不清楚究竟发生了什么。最后，主办方承认，现场有一群隐蔽的黑客“在用特殊的方式加入这场竞技赛。”裁判长确认在现场发现了多条匿名Wi-Fi信道在干扰，以至于比赛用Wi-Fi信号无法正常工作。“我可以保证这绝不是主办方刻意安排！”裁判团主席于旸，人称TK教主，在现场无奈开起玩笑，“我们很意外，能看到这样一场真实的白帽子与黑客之间的攻守对决。”

据《IT时报》记者了解，主办方所使用的网络是在酒店局域网内自行搭建起来的，在此前没有发现任何问题，但选手上场之后，网络便出现了干扰。

“应该是有人使用公开的openbts-umts技术制造3G假基站，强制干扰通讯。”评委团中从事Wi-Fi攻破研究的营先生向记者透露，他明显感到手机信号被迫降至2G，“我上午9点进入主会场后，就发现手机信号明显变化，整个3G信号都没了，但走出会场又很快恢复。”

但直到比赛结束，主办方依然没能就Wi-Fi干扰事件给出明确答复。在业内人士看来，这样的攻击很有可能来自一群“地下黑客”，目的是利益窃取。“很多人会拿着现成的设备来搞监听、偷取资料。”在这位人士看来，白帽子们苦心研究用来提高安全防御能力的攻破代码，在黑客看来却是换取高额利润的“利器”，因此，这样一场大赛能吸引一群地下黑客的参与，并不让人意外。

10月25日上午，选手挑战360儿童安全手环准点进行。1个小时后，挑战选手顺利完成了其中两项挑战——通过技术手段远程截取手环上的地址信息，获得孩子的出行轨迹以及实时位置信息，以及远程将父母的手机App下线，封锁孩子可能发出的求救信息。

然而，后两项挑战却因为“环境问题”而无法继续完成。比赛现场，主办方并未具体点明究竟是什么“环境问题”，但从微博上或许能找到答案。作为被攻破的对象，360儿童卫士在25日上午11点通过微博发表声明，称这是主办方的恶意炒作，是腾讯雇佣黑客打手在蓄意抹黑360儿童卫士手环，“这样的攻破是虚假行为。”作为抗议，360方面关闭了部分远程功能，“演示问题所需要的云端功能神奇地不见了。”有人在现场发微博称。

当天，在360儿童卫士手环的论坛上，一批用户集中投诉360儿童卫士手环部分功能无法正常运作。

“这只不过是一个就安全论安全的探讨，360却硬要把与腾讯的恩怨扯进来，很不大气！”主办方与360的交锋不断升级，组委会成员现场发布微博：“最初，对儿童手环项目是否纳入GeekPWN，我持反对意见……现在，他们（360）刚开始闹的时候，我说赶紧把漏洞报了就完了。没想到越来越不像话，那我就不能什么都不说了！”

据了解，在比赛第一天，根据黑客大赛的国际惯例，主办方给360发送了第一个被攻破的360路由器漏洞报告，但360方面拒不承认收到报告。而这种态度，让主办方犹豫是否要继续发送第二份报告。

“厂商来砸场，这在国外黑客大赛中还是很少见的。关键还是国内厂商怕品牌利益受损。”在大赛一位评委看来，这样的干扰让他们很难理解。“在国外，黑客大赛常常能获得厂家的赞助，因为在国际安全观念中，被找到的漏洞越多，产品也就越安全。”事实上，在本场大赛中，在第一个攻破Google nest智能家用路由器的过程中，来自Google安全团队负责人Chris全程观战，最终欣然接受挑战者提出的建议：Nest 存在“未经用户同意获取个人信息”的不安全行为，并同意在未来的产品中预设开关，让更多用户选择是否上传个人信息。

最终，这场“波折”以360方面承认漏洞，并愿意为此支付酬金而告终。但国内厂商为利益隐瞒漏洞的安全观还是值得深思。

定名为GeekPWN极客嘉年华的竞技赛，由安全领域内的前锋部队keen team团队主办，获得来自腾讯、华为、联想等巨头企业的赞助，多了大佬光环的“加持”，整场比赛异常热闹，目前炙手可热的一批智能设备也悉数亮相，一一被PWNED（攻破）。

特斯拉？ PWNED！

大赛场外的一辆特斯拉格外显眼，而在无人驾驶的情况下，它自动完成了“前轮旋转”的动作，而操控它的正是现场内的一位普通观众。这位观众通过主办方提供的微信账号，“轻松”完成了对特斯拉的破解。

小米盒子？ PWNED！

来自香港的两位研究生在现场，对着小米路由器“开膛破肚”，通过物理手段加网络手段，攻破了小米路由器，从而间接完成对小米盒子的攻击。攻击完成后，选手通过电脑就能远程完成对小米盒子的操控，以及信息的读取。

Jawbone Up 24 智能手环？PWNED！

Jawbone Up 24是全球最热门的可穿戴式智能健康手环，选手完成对Jawbone Up24 从硬件到软件的逆向破解和修改，通俗理解是向手环植入后门，攻破后，可远程遥控，指定手环在特定时间发出震动和闪屏。

锤子手机？ PWNED！

在智能硬件破解大赛中，锤子手机被成功破解，参赛选手安装了一个普通APK后在没有root的状态下，就可获取其他应用通信的权限，并将敏感信息传到远端服务器上，轻松仿冒任何其他应用。

智能门锁？ PWNED！

在选手攻破后，美女顺手扫张二维码后，就能完成从门锁到电脑全部被黑。

文章来源: IT时报(上海)