一场疫情让远程办公成为大家习以为常的工作模式，但你想过，可能就是你正在打开的一张PPT，或者正在使用的家庭网络，也是打开你电脑的入口吗？

10月24日，在2020国际安全极客大赛（Geek Pwn 2020）的舞台上，极客们通过挖掘漏洞并预演安全威胁的方式展示了上述可能性。他们是如何做到的？常用的办公软件有哪些漏洞？串联各种智能家居设备的家庭网络有哪些隐患？隐私护卫队带你一探究竟。

APT攻击被称为“高级可持续威胁攻击”，常常用于国家间的网络攻击行动，国家机密信息、重要商业机密都是它的窃取目标。但实际上，它离我们并不遥远。

主持人蒋昌建在开场中介绍，攻击者通过恶意构造一个Word、PPT或者Excel文档，就可以获取被攻击者电脑的控制权，并长期潜伏在电脑中，获取更多机密信息。

在现场，来自成都二进制安全兴趣小组的参赛选手蒋洪伟、胡可奇就为观众展示了这样一场攻破挑战。他们利用WPS 2019这款办公软件的漏洞，在诱使用户打开指定文档后，获取用户电脑当前账号的控制权，并使用摄像头拍下用户照片并上传，窃取用户电脑中的秘密文件。

据选手现场演示，一旦恶意文件被打开，每过5秒攻击者就会截取一次屏幕。如果用户在这个过程中浏览了其他比较敏感的文件，那么，这份文件就会被上传到攻击者的服务器上。

此外，GeekPwn大赛评委、滴滴美研所安全专家王宇提醒，在一般的企业邮件安防策略里，会把一些标识为高危的文件类型屏蔽，比如.exe可执行文件，但是对于WPS系列的文档型文件一般不会采取措施。

近年来，随着人工智能技术日益普及，全球智能家居得到快速发展。从智能电视、智能音箱，到智能门锁、智能扫地机器人等等，只要你愿意，就可以搭建一种智能家居生活，动动手指或者说几句话就可以对家庭各种设备进行操控。

公开资料显示，2019年，全球消费者用于智能家居设备上的支出高达520亿美元（人民币超3600亿元）。

在这样快速发展的趋势下，你有想过它可能带来的安全隐患问题吗？在此次极客大赛上，来自上海交大-奇安信联队的四名参赛选手陈力波、蔡洤朴、马振邦、沈明航，就为观众展示了一场利用智能设备漏洞攻破多个内网设备的连锁攻破挑战。

上海交大-奇安信联队的四名参赛选手。图自主办方。

五位选手利用VPN、路由器、NAS（网络储存器）、智能音箱设备中的漏洞，进行远程穿透。他们的攻击目标包括获取VPN设备的admin账号密码，获取路由器的root控制权权，控制智能音箱并播放指定音乐，以及获取NAS中的保密文件。

虽然对路由器、NAS、智能音箱设备的攻击非常顺利，但遗憾的是，因为最终没有在20分钟内获取到VPN设备的控制权，五位选手没能挑战成功。

GeekPwn大赛评委、蚂蚁集团副总裁韦韬解释，近年来大家对智能家居设备的使用越来越普及，但是只要家里的一个智能设备出现问题，那么它就可能成为攻击者进入家庭网络的一个重要跳板。而当攻击者一旦进入家庭网络，Ta可能就会横向移动控制家里更多的设备，甚至一些重要的资料信息可能会被窃取。

采写：南都记者 李慧琪

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

蒋琳5.01亿

南方都市报记者