一支手机就能偷走整台车?Gogoro 资安 Bug 被台湾骇

一支手机就能偷走整台车?Gogoro 资安 Bug 被台湾骇

亚洲最大的骇客技术研讨会之一「台湾骇客年会 HITCON 社群场」本日 (7/22) 和明日在中央研究院盛大举行。今年以「Security or Nothing」为主题,超过一千位对资安有兴趣的听众,在两天的议程中将与来自十余国的顶尖资安研究人员交流切磋。今日上午请到行政院科技会报郭耀煌执行秘书,为今年度的 HITCON CMT 揭开序幕。

在开场致词中, 郭执秘说明新政府对资安的高度重视,目前正积极规划资安产业的发展,即将于八月一日正式成立的行政院资安处,也会以开放的态度和民间技术社群沟通连繫 。台湾的资安治理须藉由民间与企业的力量以推动国际合作,而骇客协会是政府与民间互动的窗口。唯有在政府的支持与民间合作的前提下,台湾的资安产业才得以持续蓬勃发展。

交通大学黄世昆教授在上午议程中介绍以自动化漏洞挖掘系统所开启的一个新的资安世代,八月初即将在拉斯维加斯举行的 DEF CON CTF 比赛,今年在美国国防部 DARPA 资助下增加 Cyber Grand Challenge (CGC) 比赛项目,首度以人工智慧 (AI) 对决世界顶尖队伍,HITCON 联合台大、交大、台科大的战队以极佳成绩获选进入决赛,将以电脑软体弱点攻防 (fuzzy) 竞赛方式一决高下。今年三月 AlphaGo 打败世界围棋好手引发对人工智慧的热烈讨论,相较于传统 CTF 以人工方式侦错修补的耗费时日,CGC 的应用势必将成为资安防护的未来趋势。

台科大 CSC 教授带领的团队,善于分析蓝牙低功耗通讯协定,介绍多款物联网产品的安全验证设计挑战,其中亦包括台湾研发的 Gogoro Smart Scooter,是第一个可用手机蓝牙控制发动电动智慧机车, 由于 App 通讯协定存在加密储存弱点,在手机感染恶意程式的情况下有心人士可能偷走车辆,现场并进行 demo 用车主及第二只攻击者的手机成功发动 Gogoro。大部分弱点在研究团队通报官方后,已于本月初释出新版 App 修复。演讲中亦提出解决潜在危机的方法,Gogoro 厂商也正积极寻求更完善的使用环境与 App 技术。

会场中同时有旨在製作原创、高品质游戏的 Rayark(雷亚游戏)、积极推动网路安全相关工作的 TWCERT 、持续拓展跨境电商与大数据分析等新兴服务的关贸网路以及提供新型态的优质徵才平台的 Sudo 等知名厂商进行人才招募,期许能透过此次难能可贵的机会,争取优秀人才的加入,进而壮大台湾资讯产业与资讯人才的培育,为厂商与有意投入资讯产业的会众製造双赢的机会。

本年度 HITCON CMT 也準备了往年的特色活动之一 Wargame,此次主题为「I Own This Raspberry Pi」,所有参与者将使用主办单位提供的特製设备进行竞赛,希望透过这个有趣的活动,让参与者了解嵌入式设备的安全议题及其重要性。

如同今年 HITCON 的主题「Security or Nothing」所揭示,在这个资讯时代中,资讯科技的应用深入你我的生活,资讯安全的重要性已经不容忽视。若未加以注意,近日惊动全球的 ATM 盗领案与类似事件将层出不穷。HITCON 将持续推广正确的资安观念,并且培养台湾资安人才,致力于提升社会大众对于资讯安全议题的重视,在今明两天的大会上,还会有更多丰富有趣的议程与精心设计的活动与大家分享!

详细议程及活动请参阅活动官网及脸书 

上一篇: 下一篇: