10月24日,GEEKCON 2024 上海站成功举办,本次活动,设"深蓝洞察之特别披露"、"漏洞与利用 DAF 挑战赛"、"30+5 深度分享"、"AI与黑客挑战赛"和"对抗研判 AVSS 精英挑战赛"五大系列专场,以及全新"GEEKCON电池安全特别挑战赛"与“真实 · 黑客说”分享。
大会聚焦漏洞攻防、智能汽车安全、AI与安全等前沿话题,共同探讨当下最具挑战性和创新性的安全问题及行业现状与趋势。现场汇聚了华为、蚂蚁集团、OPPO、百度、vivo、小米、京东、荣耀、美团等科技互联网巨头的顶级安全专家、行业领军人物和高水平“白帽黑客”参与。
GEEKCON 发起创办人、DARKNAVY CEO王琦(大牛蛙)回顾道:“从2014年起,我们就致力于打造最纯粹、开放的黑客赛事。当时,我们搭建了高于观众席的舞台,让不为人知的白帽黑客获得认可和尊重。十年过去,大家的努力让整个行业和生态有了起色,但是这样就足够了吗?”答案是否定的,行业的真实依旧需要探索和关注。
他强调:“真实,就是力量。我们的世界并不完美,存在各种漏洞或者缺陷;一些企业的行为正在侵害消费者权益。 GEEKCON希望通过真实黑客说,通过科学、公开的实验,通过开放、创新又纯粹的交流,来验证和消除一些担心与忧虑,传递积极正面的知识力量。”
深蓝洞察之特别披露
活动现场,一名戴面具的捍卫者向现场观众披露了一场无声的安全对抗,揭示不为大众所知的恶意利用。另一组捍卫者向大家揭示了某厂商如何利用特权向正常应用中植入广告,并讲述了他们检测和固证的过程。
现场为勇于披露的白帽黑客颁发了GEEKCON “捍卫者奖”证书,并向利用黑客技术突破底线、侵犯用户隐私、肆意敛财的厂商颁发年度安全界“鲱鱼奖”。这是继2023年首届“鲱鱼奖”公布以来,再次有两家厂商获此“殊荣”。
GEEKCON组委会呼吁行业共同捍卫健康的移动生态,还消费者安全的手机使用体验。而移动平台厂商进行商业化也要注意适度,保护用户权益。GEEKCON组委杜跃进在为捍卫者颁奖时,两位戴着面具的捍卫者勇敢地摘掉了面具。杜跃进表示,希望未来大家在执黑行白、以白帽之名行正义之事时不再需要戴上面具,也期望未来不会再有厂商获得“鲱鱼奖”。
同时,DARKNAVY在现场特别发布深蓝洞察系列的前沿服务——深蓝洞察订阅版,涵盖行业最新研究成果、特别披露独家剖析以及未来安全趋势,期望将“知识的力量”传递给更多从业者。
GEEKCON特别挑战赛之“爆炸专场”
GEEKCON特别挑战赛专场——"黑客真能远程爆掉电池吗?"以其独特的技术维度和现实意义,成为现场倍受关注的焦点。这场挑战赛首次将安全研究与实战场景紧密结合,通过规则约束,深入探索物联网设备的安全边界。DARKNAVY团队在现场拆解了一部苹果手机,通过电池大电流快速放电,使手机达到较高温度,以此尝试引发电池热失控。实验前期,手机电池温度快速升高,短短几秒,就达到了50度,但随后升温速度变缓,达到62度左右就开始下降,最后保持在25度左右,未达到热失控温度。由此可以证明,主流手机电池上的BMS系统对电池热失控做了有效的防护手段,带BMS系统的电池在放电状态下不太可能发生爆炸。
这场现场实验展示了存在于手机电池的安全防护机制,科学分析了手机电池爆炸所需的苛刻条件,为消除社会恐慌提供了较为可靠的参考凭证。
作为GEEKCON2024上海站设立的特色赛事,本次特别挑战展现了极客精神与社会责任的完美融合。它不仅是一场技术的求真,更是推动整个行业正视安全隐患,不神话黑客、也不放大威胁,从科学公正的角度去评判安全事件。
未知安全缺陷再曝行业防护盲区
自2014年第一届大赛开始,汽车安全相关项目就备受关注。不同品牌、不同漏洞、不同问题,先后有数十个个汽车破解的项目在赛场上出现。本次GEEKCON现场,再现团队仅凭车架号就远程控制并开走新能源汽车,再次为汽车数字安全敲响警钟。
此外,参赛选手在通信、办公设备等领域也取得了突破。Spreader小分队与清华Redbud团队发现运营商短信远程伪造漏洞,现场成功模拟伪造任意号码发送诈骗短信。无踪实验室则成功突破会议投屏系统安全防护,进而控制办公电脑,获取机密文件。
大赛特设“30+5深度分享”环节,Google Android Red Team和腾讯玄武实验室、星云防护实验室等前沿研究团队分享了Linux内核漏洞挖掘、Chrome浏览器WASM漏洞等前沿研究成果。参赛团队发现的多个安全缺陷已负责任披露给相关厂商、引发业界重视,加速通信安全、智能汽车及物联网设备等领域安全升级。
未来黑掉我们的,可能是AI
在GEEKCON 2024另一年度特别赛事"AI与黑客挑战赛"中,三支参赛队伍展现了AI在网络安全领域的突破性应用。安恒信息GenZ队、上海交通大学Ph0t1n1a队和多校联合的Emmmmmm2024战队分别在“AI自动化漏洞挖掘”和“智能渗透测试”两大赛道上展开角逐。
经过多轮激烈角逐,最终Ph0t1n1a队获得第一。选手们成功实现了从漏洞发现到利用的全流程智能化突破,将传统安全测试效率提升数十倍。这些创新成果不仅展示了AI在安全攻防领域的巨大潜力,更有助于推动整个行业加速向智能化升级转型。
对抗研判AVSS精英挑战赛
在“对抗研判AVSS精英挑战赛”中,五支国内顶尖安全战队入围决赛,现场展开激烈角逐,通过“碰撞测试”方式对智能系统进行全方位安全评估。最终星盟Polaris团队获得一等奖,知名CTF劲旅Nu1L获得二等奖,高校联合的Emmmmmm2024摘得第三,r3kapig与浙大AAA战队获得优胜奖。
AVSS挑战赛实现了对智能系统安全性的量化评判,不仅建立了直观的安全参考标准,更促进产品制造商优化安全投入,为产业界建立了一套科学的安全评估体系。这一创新模式标志着网络安全评估进入标准化、可视化的新阶段。
“真实·黑客说”
在安全行业沉浮多年的老中青几代白帽黑客,也是GEEKCON赛事评委、议题评审委员们,在大赛现场就“安全是个好行业吗?”展开激烈讨论,为现场观众揭秘安全行业行业真相。尽管安全问题层出不穷,安全研究员经常遭遇诸多误解,安全研究与漏洞披露遇到诸多波折,安全行业甚至被当作“被包养“的“保安行业”,但他们依旧对未来抱有积极的态度和期许。
蚂蚁集团副总裁、首席技术安全官韦韬表示:“如果人类最后只有一个职业,那就是安全。未来整个国家对安全的需求肯定是会持续性增长增加的。我们要努力推进安全实战化,让实战能力强的同学将能力展现出来。”
前阿里巴巴技术副总裁和首席安全专家杜跃进表示:“安全讲究实实在在的能力。希望我们每一个人能真实地把自己的能力做好。”
獬豸安全实验室负责人、多次获得世界黑客大赛冠军的何淇丹表示:“极客精神,甚至说整个互联网起步的时候有一种精神,是让这个世界变得更好。希望大家还能坚持这种精神。”
清华大学网研院教授段海新表示:“安全从业者经常遇到这样的情况:平时不出事,领导问要你们干啥?出了事后,领导问要你们干啥?”虽然不那么招人待见,但是,“我们还是要以披露安全漏洞,说出安全的假象为己任,这种精神会让网络安全变得越来越好。”
腾讯玄武安全实验室负责人、知名大V Tombkeeper鼓励现场信息安全专业的学生:“我们面临的威胁是来自于全球一个局部的一些情况,是不可能长期存在的,最终一定是在对抗中分出高下胜负,能看出到底谁是真正有价值的。”所以坚持选择的路走下去,最终努力一定能被看到。
这是每一位GEEKCON组委已经走过或者正在坚持的道路,也同样是 GEEKCON 坚持举办的初心。通过GEEKCON这一桥梁连接起产业、学校、行业,通过舞台上的展示与分享让真实被看见、让安全被重视;在追寻技术极致与真实中,预先消灭可能出现的安全问题,让安全价值进一步可视化,推动安全生态更健康发展。