GeekPwn 2015 开场 Show：控制别人家的大疆，用你的电子钱包结别人的账

GeekPwn 今年在腾讯深度介入之后，会场布置和活动内容比去年明显更丰富。今年虽然攻击的目标（Nest、Tesla 和遥控跳蛋等）不像去年（得益于 Google 的支持）那么科幻，但更贴合实际生活。

谁的无人机

开场 Show 分为三桌挑战，黑客老鹰、教主于扬、从 360 退休炒股的袁哥、清华诸葛建伟等知名安全专家都参与担任现场评审。

其中二号桌的首个项目主要演示攻击者在不接触控制器的情况下，通过劫持遥控器指令，控制无人机起降并飞至制定地区，攻击目标为大疆 Phantom 3。

你的卡还是你的卡

三号桌的挑战者演示的内容为：在同一局域网环境下，一旦被攻击者在 Android 手机上调用支付宝或银联应用/安全支付插件在饿了么、一号店、嘟嘟美甲等应用中支付时，收款方信息可能被篡改。用户支付之后无法完成订单，但款项已经转到攻击者账户。

你的钱不一定是你的钱

同样是支付，下下终端也不能幸免。一号桌挑战者演示了当被攻击者在拉卡拉或盒子支付 POS 机完成支付后，攻击者可以不受限地用伪造卡盗用被攻击者的银行账户。期间，手机应用和移动终端的手写签名功能并未识别出伪造者。

长亭科技（蓝莲花 CTF 战队）也参与到本届 GeekPwn 开场秀，演示劫持常见的家庭智能摄像头，包括监控内容，控制摄像头转向等。

（P.S 题图是这次 GeekPwn 的胸卡，和 Pwn2Own 等安全会议一样，参会者可以通过 microUSB 尝试解开胸卡中的谜题，另外，本届会议比赛的冠军名称会闪现在每一张胸卡上。）