Pwn2Own駭客大賽由微軟、谷歌、蘋果、Zero Day Initiative等全球知名軟體廠商和安全解決方案提供商提供贊助，提供最新和最安全的主流桌面作業系統、瀏覽器及桌面應用作為攻擊物件，同時創紀錄的為獲勝參賽隊提供了總計超過100萬美金的獎金[1]。

Pwn2Own由美國

五角大樓

網路安全服務商ZDI主辦，Pwn2Own作為全球最著名的駭客大賽，吸引了包括曾三次獲得該賽事冠軍的法國Vupen在內的眾多全球頂級安全研究團隊參加。

2017年是Pwn2Own駭客大賽十週年，賽事主辦方ZDI特別在官方部落格發文“PWN2OWN：THE ROOT OF RESEARCH”，總結了Pwn2Own對安全研究的推動作用。

10月24日，這是一個特殊的日子，你一定懂得（1024）。

GeekPwn2015嘉年華，選擇了這樣一個特殊的日子在上海舉行，有點意思。這是一場被業內譽為“駭客奧運會”的國際性智慧軟硬體挑戰賽，由國內頂尖安全團隊KEEN主辦，超過40款主流軟硬體產品成為選手攻破物件，移動支付、O2O、智慧家居等領域的安全問題，再次成為行業關注的焦點。

這是一個神秘的領域，官方資料顯示，GeekPwn是國際性的智慧生活安全社群，是連線國內外安全、促進技術交流的橋樑，發現和輸出優秀人才的平臺，促進安全生態健康發展的力量。GeekPwn其中Geek譯為極客，Pwn譯為“攻破裝置或者系統”，GeekPwn譯為“極棒”，字面意義是“極客攻破新裝置和系統”。它聚焦於智慧裝置領域同時，致力於為“以創新、技術和時尚為生命意義”的極客打造一個展示交流的舞臺，從而引領未來科技、智慧生活和時尚潮流。

聽起來很神秘炫酷吧？更過癮的還在後頭呢。

1024這天，一架大疆無人機在GeekPwn評委“老鷹”的操作下起飛，按照評委的遙控指令穩定飛行。這時，評委突然將無人機遙控器放置在一邊。不料，此時無人機卻自行改變航線……意思就是這架無人機被駭客劫持了。據劫機者稱，他是利用無線劫持技術介入並獲取對大疆無人機的控制權，成功劫持無人機。

你或許會說，無人機就是個玩具，劫了就劫了，有啥大不了的。看完下面這個場景，你就不會這麼說了。

一名駭客透過安卓手機繫結拉卡拉收款寶POS機，並在手機上安裝Xposed模組去劫持交易資訊，接著再用銀行卡（如招商銀行卡）完成一次查詢餘額的動作，之後會將交易資訊劫持下來，然後用另一張卡（如公積金卡）去刷卡轉帳，輸入任意密碼就可以轉走前面招行卡上的餘額。

不只是拉卡拉，在當天的演示中，白帽駭客利用SSL網際網路底層協議的未知漏洞，在使用者不知不覺中查詢餘額和消費記錄，個人隱私也都一覽無遺。在GeekPwn智慧軟硬體破解大賽現場，選手還輕鬆攻破了盒子支付POS機，透過銀聯賬戶交易系統，駭客可以盜刷使用者銀行卡。

看完這段之後，是不是感覺後背發涼呢？接著看……

駭客還現場演示了，如何利用嘟嘟美甲充值系統專案的漏洞，透過在自己手機上呼叫支付寶，在實際支付1分錢的情況下，完成任意價格的訂單充值。還進行了利用“阿姨幫”系統未知漏洞，進行任意充值的的演示，其實，除了“阿姨幫”很多O2O產品都在支付介面有著類似的漏洞。駭客還成功演示了攻破極速線上選座購票平臺微票兒等O2O服務平臺。並且，駭客還可以在獲知使用者資訊，例如手機號、家庭住址、平臺賬號等，威脅到使用者的財產和人身安全。對於已深入滲透大眾生活的O2O平臺來說，此次GeekPwn智慧軟硬體挑戰賽無疑是一次高效率、零成本完善產品的機會。