由知名安全团队KEEN主办的GeekPwn 2015嘉年华上周五在上海举行。在这场被业内誉为“黑客奥运会”的国际性智能软硬件挑战赛上，超过40款主流软硬件产品成为选手攻破对象，移动支付、O2O、智能家居等领域的安全问题成为今年的热点。

全线路由器、摄像头产品被攻破

活动过程中，包括小米、华为等主流手机品牌纷纷被选手攻破。选手通过在安卓手机上安装一个普通权限的APP，利用本地提权漏洞获取系统权限后，该APP会替换手机的开机画面。多名白帽黑客演示了360、小米、联想、D-link、TP-link等十个品牌的路由器被攻破的场景，三组参赛选手分别选择了某电商网站十款销量最高的路由器，利用智能路由器的未知漏洞，完成获取ROOT权限，演示本来要打开正常的GeekPwn官网，却链接到另外一个黑客山寨被PWN掉的GeekPwn官网。

支付1分钱可任意充值

O2O服务已经渗透到购物、交通、衣食住行等方方面面。然而在用户获得极大便利服务的同时却难免遭遇数据泄露、信息安全等问题。在现场，白帽黑客现场演示了如何利用嘟嘟美甲充值系统项目的漏洞，通过在自己手机上调用支付宝，在实际支付1分钱的情况下，完成任意价格的订单充值。现场选手还进行了利用“阿姨帮”系统未知漏洞，进行任意充值的演示。除此之外，选手们还成功演示了攻破全国最大的上门推拿按摩平台功夫熊、极速在线选座购票平台微票儿等O2O服务平台。此外，黑客还可以在获知用户信息，例如手机号、家庭住址、平台账号等，威胁到用户的财产和人身安全。

选手任意操纵智能烤箱

智能生活正以各种各样的形态进入人们的视野，例如原本功能单一的烤箱一旦与智能挂上钩，除了保持正常的烧烤模式外，还可以通过WiFi进行远程控制。当黑客瞄上了它，智能烤箱能给用户带来的就不仅仅是美味的食物，还可能是极大的安全隐患。选手现场演绎攻破智能烤箱，随意调节其温度、频率等。

GeekPwn选手表示，智能家居软硬件如果被攻破，不仅会产生以上的安全隐患，你还可能在睡梦中被忽明忽暗的灯光惊醒；在不经意间，用以远程操作的手机APP被不法分子入侵，个人信息被尽收眼底；智能门锁被任意操控，大门洞开……各种家居智能设备都可能成为噩梦，期望的智能安全生活将被搅得一塌糊涂。

赛后，GeekPwn组委会第一时间向厂商发送了漏洞报告，以协助所有厂商第一时间修补漏洞。