剛剛落下帷幕的BlackHat和DEFCON大會(huì)顯然是這幾天安全圈關(guān)注的焦點(diǎn)。除了之前我們介紹的精彩議題，各路英雄豪杰還帶來了各種各樣的硬件破解技巧，今天就大家介紹一些那些在安全“兩會(huì)”中的精彩破解。

兩種方法破解蘋果支付

在各種移動(dòng)支付解決方案中，蘋果支付往往被公認(rèn)為是最安全的方案之一，蘋果芯片中分配了專門的區(qū)域(Secure Enclave)用來處理支付，銀行卡數(shù)據(jù)也并非存儲(chǔ)在設(shè)備中，支付過程中的交易數(shù)據(jù)也進(jìn)行了加密傳輸。但盡管如此，來自Positive Technologies研究人員還是在Black Hat大會(huì)上公布了兩種攻擊蘋果支付的方法。

[[198945]]

“在測(cè)試過程中我發(fā)現(xiàn)起碼兩種方法能夠讓這些安全措施付之一炬。一種方法需要越獄手機(jī)，現(xiàn)在市面上手機(jī)越獄的概率大概是20%，另外一種方法對(duì)未越獄的手機(jī)也有效。”攻擊者可以把受害者的銀行卡綁定到自己的iPhone賬號(hào)上，還可以篡改設(shè)備與蘋果服務(wù)器之間的SSL流量，從而直接從受害者手機(jī)進(jìn)行偽造的支付。

研究員Yunusov首先展示了第一種攻擊方式。攻擊者需要用惡意軟件感染一臺(tái)已經(jīng)越獄的設(shè)備。一旦感染，就可以截獲支付數(shù)據(jù)，這針對(duì)的是蘋果支付的Secure Enclave空間。

第二種攻擊則不需要越獄，因?yàn)楣羰峭ㄟ^篡改SSL支付流量完成的。攻擊者可以存在交易數(shù)據(jù)，比如修改交易金額或者交易使用的貨幣種類，或者下單貨物的送達(dá)情況。

攻擊者可以把竊取的銀行卡信息綁定到自己的賬號(hào)上，然后冒用受害者的身份進(jìn)行支付。

“第二種攻擊方式中，第一步是黑客從目標(biāo)用戶的手機(jī)中獲取支付token。他們需要連入公共WiFi或者提供偽造的WiFi熱點(diǎn)，欺騙用戶連入。之后黑客就能夠竊取到蘋果支付過程中用來加密數(shù)據(jù)的cryptogram。蘋果聲稱這個(gè)cryptogram只會(huì)被用一次，但實(shí)際上在很多商家的配置下，cryptogram可以反復(fù)使用。”研究人員解釋道。

“由于送達(dá)信息是以明文傳輸?shù)模O果沒有檢查其完整性， 黑客就可以使用截獲到的cryptogram讓受害者多次支付。”

不過這種攻擊方式還是有一些限制，比如用戶會(huì)在支付后收到提醒，這樣他們就可以馬上凍結(jié)賬號(hào)，防止損失擴(kuò)大。

輻射檢測(cè)儀(RDM)的嚴(yán)重漏洞

IOActive信息安全公司的研究人員在BlackHat上破解的設(shè)備更加高端：機(jī)場(chǎng)所使用的輻射監(jiān)控設(shè)備。

他們發(fā)現(xiàn)，來自Ludlum、Mirion和Digi的輻射監(jiān)控設(shè)備(RDM)存在不少漏洞。攻擊者利用這些漏洞可以破壞、延遲放射性材料的檢測(cè)，或者說讓檢測(cè)發(fā)生錯(cuò)誤。

這對(duì)個(gè)人人身安全會(huì)產(chǎn)生危害，乃至為機(jī)場(chǎng)、港口放射性物質(zhì)的走私提供幫助。漏洞包括某些設(shè)備存在最高權(quán)限硬編碼的密碼，如Ludlum 53 Gamma Personal Portal被逆向后就可發(fā)現(xiàn)該問題，這樣就能繞過系統(tǒng)認(rèn)證控制設(shè)備，讓設(shè)備不再觸發(fā)相應(yīng)警報(bào)。

再比如Ludlum Gate Monitor 4525是一款用于檢測(cè)港口貨物卡車放射性物質(zhì)的設(shè)備，其中也存在一系列的配置和安全問題，攻擊者可利用這些缺陷發(fā)動(dòng)中間人攻擊。報(bào)告中提到，Gate Monitor 4525采用諸如Port 20034/UDP和Port 23/TCP一類協(xié)議，不部署任何加密措施，攻擊者就能攔截?cái)?shù)據(jù)包，偽造信息或者禁用警報(bào)。

而核電廠中所用的Digi固件和Mirion輻射監(jiān)控設(shè)備同樣存在問題，研究人員對(duì)WRM2設(shè)備軟件進(jìn)行逆向就能暴露加密算法，可對(duì)固件文件進(jìn)行解密，攻擊者可篡固件，繞過保護(hù)措施。攻擊者可以向核電廠系統(tǒng)傳輸篡改數(shù)據(jù)，構(gòu)造錯(cuò)誤的輻射泄露報(bào)告，或者還能發(fā)動(dòng)DoS攻擊。

研究人員發(fā)現(xiàn)問題的設(shè)備型號(hào)多種多樣，不乏一些大廠：

• Ludlum
• 53 Gamma Personnel Portal Monitor
• Gate Monitor Model 4525
• Mirion
• WRM2 Transmitters
• Digi
• XBee-PRO XSC 900
• Xbee S3B (OEM)

值得一提的是，Ludlum當(dāng)前已經(jīng)承認(rèn)問題存在，但拒絕修復(fù)漏洞，因?yàn)樵O(shè)備都位于安全設(shè)施環(huán)境中。Mirion也承認(rèn)問題存在，但表示打補(bǔ)丁會(huì)對(duì)系統(tǒng)造成干擾破壞，但當(dāng)前正與Digi合作嘗試解決問題。

除了圍棋冠軍，機(jī)器還將取代小偷

在今年的Def Con大會(huì)上，來自SparkFun電子的團(tuán)隊(duì)開發(fā)的機(jī)器人在30分鐘內(nèi)打開了SentrySafe生產(chǎn)的保險(xiǎn)箱。

[[198946]]

SentrySafe是生產(chǎn)保險(xiǎn)箱的頂級(jí)廠商，實(shí)驗(yàn)中的這款保險(xiǎn)箱的安全系數(shù)也不低，密碼為6位數(shù)。而這臺(tái)機(jī)器人可以把可能的密碼組合從100萬減少到1000，然后快速并且自動(dòng)地嘗試密碼組合直到成功破解密碼。

保險(xiǎn)箱有三個(gè)轉(zhuǎn)盤，只有三個(gè)轉(zhuǎn)盤的位置都正確才能打開保險(xiǎn)箱，而每個(gè)轉(zhuǎn)盤的示數(shù)可以是任意的兩位數(shù)字，也就是總共100萬種可能。

[[198947]]

不過機(jī)器人不會(huì)去嘗試每一種選項(xiàng)，它能夠在20秒內(nèi)通過轉(zhuǎn)盤縮進(jìn)的大小判斷出其中一個(gè)轉(zhuǎn)盤的密碼。轉(zhuǎn)到正確數(shù)字是縮進(jìn)要比不正確的大一點(diǎn)點(diǎn)。在演示的過程中研究人員猜測(cè)出了第三個(gè)密碼是93。

另兩位數(shù)字就沒這么好猜，不過保險(xiǎn)箱自帶了一種“容錯(cuò)”功能，當(dāng)用戶旋轉(zhuǎn)的密碼跟正確密碼稍有不同時(shí)，保險(xiǎn)箱也能打開。比如正確密碼是14的話，輸入13或者15也是可以的，這就意味著機(jī)器人可以每隔3個(gè)數(shù)字進(jìn)行猜解，也就比正常人類的猜解速度快了兩倍，數(shù)字組合也會(huì)相應(yīng)減少。

[[198948]]

這款機(jī)器人使用3D打印制作的，稍加修改就可以適應(yīng)不同品牌的保險(xiǎn)箱。

有趣的是，破解保險(xiǎn)箱也是緣于機(jī)緣巧合，團(tuán)隊(duì)成員的妻子在eBay上買了一個(gè)很便宜的保險(xiǎn)箱，之所以便宜是因?yàn)楸ｋU(xiǎn)箱被鎖上了，而之前的買家忘了密碼是什么。

用聲音攻擊智能設(shè)備

上面破解保險(xiǎn)箱的方法可謂十分優(yōu)雅，而來自阿里巴巴的研究人員則“暴力”得多，他們帶來的是一款聲波槍。

[[198949]]

我們身邊的眾多智能設(shè)備需要依賴來自陀螺儀、加速度計(jì)等微機(jī)電系統(tǒng)傳感器輸入信號(hào)才能正常工作。而陀螺儀傳感器通過檢測(cè)震動(dòng)來跟蹤旋轉(zhuǎn)幅度和加速度。但那時(shí)如果從外部造成震動(dòng)，并且讓它與陀螺儀的諧振頻率匹配，就會(huì)干擾傳感器的穩(wěn)定性，導(dǎo)致傳感器無法正常工作。

通過這樣的原理，聲波槍可以讓無人機(jī)從天上掉下來，讓機(jī)器人倒下，亦或是干擾虛擬現(xiàn)實(shí)軟件。

來自阿里巴巴移動(dòng)安全研究團(tuán)隊(duì)的Wang Zhengbo和Wang Kang在BlackHat大會(huì)上對(duì)聲波槍進(jìn)行了演示。把聲波槍對(duì)準(zhǔn)米兔機(jī)器人后，機(jī)器人立刻失去平衡，隨即倒下;對(duì)準(zhǔn)小米平衡車后，平衡車也不再“平衡”，這對(duì)于騎行者是非常危險(xiǎn)的事。

不過好在研究人員表示，由于平衡車外面有一個(gè)比較堅(jiān)硬的外殼削弱了聲波的強(qiáng)度，因此要讓攻擊生效，發(fā)射槍要放置在外殼里面。不過如果聲波槍的功率足夠大理論上還是能夠穿透外殼的。

盡管安全“兩會(huì)”已經(jīng)結(jié)束，但正如我們?cè)趫?bào)道文章《安全“兩會(huì)”Black Hat與DEF CON大會(huì)這20年來的變遷：不只是規(guī)模在擴(kuò)大》中提到的，BlackHat和DefCon大會(huì)給現(xiàn)實(shí)世界帶來的是實(shí)實(shí)在在的影響，這些精彩紛呈的演講給大家?guī)淼牟粌H僅是一次次的破解，更是安全意識(shí)的普及。

最后送上福利：DEF CON 全部 PPT：https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/