DEFCON精彩破解:Apple Pay被攻破、機(jī)器人解鎖保險(xiǎn)箱、用聲音攻擊智能設(shè)備
剛剛落下帷幕的BlackHat和DEFCON大會(huì)顯然是這幾天安全圈關(guān)注的焦點(diǎn)。除了之前我們介紹的精彩議題,各路英雄豪杰還帶來了各種各樣的硬件破解技巧,今天就大家介紹一些那些在安全“兩會(huì)”中的精彩破解。
兩種方法破解蘋果支付
在各種移動(dòng)支付解決方案中,蘋果支付往往被公認(rèn)為是最安全的方案之一,蘋果芯片中分配了專門的區(qū)域(Secure Enclave)用來處理支付,銀行卡數(shù)據(jù)也并非存儲(chǔ)在設(shè)備中,支付過程中的交易數(shù)據(jù)也進(jìn)行了加密傳輸。但盡管如此,來自Positive Technologies研究人員還是在Black Hat大會(huì)上公布了兩種攻擊蘋果支付的方法。
“在測(cè)試過程中我發(fā)現(xiàn)起碼兩種方法能夠讓這些安全措施付之一炬。一種方法需要越獄手機(jī),現(xiàn)在市面上手機(jī)越獄的概率大概是20%,另外一種方法對(duì)未越獄的手機(jī)也有效。”攻擊者可以把受害者的銀行卡綁定到自己的iPhone賬號(hào)上,還可以篡改設(shè)備與蘋果服務(wù)器之間的SSL流量,從而直接從受害者手機(jī)進(jìn)行偽造的支付。
研究員Yunusov首先展示了第一種攻擊方式。攻擊者需要用惡意軟件感染一臺(tái)已經(jīng)越獄的設(shè)備。一旦感染,就可以截獲支付數(shù)據(jù),這針對(duì)的是蘋果支付的Secure Enclave空間。
第二種攻擊則不需要越獄,因?yàn)楣羰峭ㄟ^篡改SSL支付流量完成的。攻擊者可以存在交易數(shù)據(jù),比如修改交易金額或者交易使用的貨幣種類,或者下單貨物的送達(dá)情況。
攻擊者可以把竊取的銀行卡信息綁定到自己的賬號(hào)上,然后冒用受害者的身份進(jìn)行支付。
“第二種攻擊方式中,第一步是黑客從目標(biāo)用戶的手機(jī)中獲取支付token。他們需要連入公共WiFi或者提供偽造的WiFi熱點(diǎn),欺騙用戶連入。之后黑客就能夠竊取到蘋果支付過程中用來加密數(shù)據(jù)的cryptogram。蘋果聲稱這個(gè)cryptogram只會(huì)被用一次,但實(shí)際上在很多商家的配置下,cryptogram可以反復(fù)使用。”研究人員解釋道。
“由于送達(dá)信息是以明文傳輸?shù)?,蘋果沒有檢查其完整性, 黑客就可以使用截獲到的cryptogram讓受害者多次支付。”
不過這種攻擊方式還是有一些限制,比如用戶會(huì)在支付后收到提醒,這樣他們就可以馬上凍結(jié)賬號(hào),防止損失擴(kuò)大。
輻射檢測(cè)儀(RDM)的嚴(yán)重漏洞
IOActive信息安全公司的研究人員在BlackHat上破解的設(shè)備更加高端:機(jī)場(chǎng)所使用的輻射監(jiān)控設(shè)備。
他們發(fā)現(xiàn),來自Ludlum、Mirion和Digi的輻射監(jiān)控設(shè)備(RDM)存在不少漏洞。攻擊者利用這些漏洞可以破壞、延遲放射性材料的檢測(cè),或者說讓檢測(cè)發(fā)生錯(cuò)誤。
這對(duì)個(gè)人人身安全會(huì)產(chǎn)生危害,乃至為機(jī)場(chǎng)、港口放射性物質(zhì)的走私提供幫助。漏洞包括某些設(shè)備存在最高權(quán)限硬編碼的密碼,如Ludlum 53 Gamma Personal Portal被逆向后就可發(fā)現(xiàn)該問題,這樣就能繞過系統(tǒng)認(rèn)證控制設(shè)備,讓設(shè)備不再觸發(fā)相應(yīng)警報(bào)。
再比如Ludlum Gate Monitor 4525是一款用于檢測(cè)港口貨物卡車放射性物質(zhì)的設(shè)備,其中也存在一系列的配置和安全問題,攻擊者可利用這些缺陷發(fā)動(dòng)中間人攻擊。報(bào)告中提到,Gate Monitor 4525采用諸如Port 20034/UDP和Port 23/TCP一類協(xié)議,不部署任何加密措施,攻擊者就能攔截?cái)?shù)據(jù)包,偽造信息或者禁用警報(bào)。
而核電廠中所用的Digi固件和Mirion輻射監(jiān)控設(shè)備同樣存在問題,研究人員對(duì)WRM2設(shè)備軟件進(jìn)行逆向就能暴露加密算法,可對(duì)固件文件進(jìn)行解密,攻擊者可篡固件,繞過保護(hù)措施。攻擊者可以向核電廠系統(tǒng)傳輸篡改數(shù)據(jù),構(gòu)造錯(cuò)誤的輻射泄露報(bào)告,或者還能發(fā)動(dòng)DoS攻擊。
研究人員發(fā)現(xiàn)問題的設(shè)備型號(hào)多種多樣,不乏一些大廠:
- Ludlum
- 53 Gamma Personnel Portal Monitor
- Gate Monitor Model 4525
- Mirion
- WRM2 Transmitters
- Digi
- XBee-PRO XSC 900
- Xbee S3B (OEM)
值得一提的是,Ludlum當(dāng)前已經(jīng)承認(rèn)問題存在,但拒絕修復(fù)漏洞,因?yàn)樵O(shè)備都位于安全設(shè)施環(huán)境中。Mirion也承認(rèn)問題存在,但表示打補(bǔ)丁會(huì)對(duì)系統(tǒng)造成干擾破壞,但當(dāng)前正與Digi合作嘗試解決問題。
除了圍棋冠軍,機(jī)器還將取代小偷
在今年的Def Con大會(huì)上,來自SparkFun電子的團(tuán)隊(duì)開發(fā)的機(jī)器人在30分鐘內(nèi)打開了SentrySafe生產(chǎn)的保險(xiǎn)箱。
SentrySafe是生產(chǎn)保險(xiǎn)箱的頂級(jí)廠商,實(shí)驗(yàn)中的這款保險(xiǎn)箱的安全系數(shù)也不低,密碼為6位數(shù)。而這臺(tái)機(jī)器人可以把可能的密碼組合從100萬減少到1000,然后快速并且自動(dòng)地嘗試密碼組合直到成功破解密碼。
保險(xiǎn)箱有三個(gè)轉(zhuǎn)盤,只有三個(gè)轉(zhuǎn)盤的位置都正確才能打開保險(xiǎn)箱,而每個(gè)轉(zhuǎn)盤的示數(shù)可以是任意的兩位數(shù)字,也就是總共100萬種可能。
不過機(jī)器人不會(huì)去嘗試每一種選項(xiàng),它能夠在20秒內(nèi)通過轉(zhuǎn)盤縮進(jìn)的大小判斷出其中一個(gè)轉(zhuǎn)盤的密碼。轉(zhuǎn)到正確數(shù)字是縮進(jìn)要比不正確的大一點(diǎn)點(diǎn)。在演示的過程中研究人員猜測(cè)出了第三個(gè)密碼是93。
另兩位數(shù)字就沒這么好猜,不過保險(xiǎn)箱自帶了一種“容錯(cuò)”功能,當(dāng)用戶旋轉(zhuǎn)的密碼跟正確密碼稍有不同時(shí),保險(xiǎn)箱也能打開。比如正確密碼是14的話,輸入13或者15也是可以的,這就意味著機(jī)器人可以每隔3個(gè)數(shù)字進(jìn)行猜解,也就比正常人類的猜解速度快了兩倍,數(shù)字組合也會(huì)相應(yīng)減少。
這款機(jī)器人使用3D打印制作的,稍加修改就可以適應(yīng)不同品牌的保險(xiǎn)箱。
有趣的是,破解保險(xiǎn)箱也是緣于機(jī)緣巧合,團(tuán)隊(duì)成員的妻子在eBay上買了一個(gè)很便宜的保險(xiǎn)箱,之所以便宜是因?yàn)楸kU(xiǎn)箱被鎖上了,而之前的買家忘了密碼是什么。
用聲音攻擊智能設(shè)備
上面破解保險(xiǎn)箱的方法可謂十分優(yōu)雅,而來自阿里巴巴的研究人員則“暴力”得多,他們帶來的是一款聲波槍。
我們身邊的眾多智能設(shè)備需要依賴來自陀螺儀、加速度計(jì)等微機(jī)電系統(tǒng)傳感器輸入信號(hào)才能正常工作。而陀螺儀傳感器通過檢測(cè)震動(dòng)來跟蹤旋轉(zhuǎn)幅度和加速度。但那時(shí)如果從外部造成震動(dòng),并且讓它與陀螺儀的諧振頻率匹配,就會(huì)干擾傳感器的穩(wěn)定性,導(dǎo)致傳感器無法正常工作。
通過這樣的原理,聲波槍可以讓無人機(jī)從天上掉下來,讓機(jī)器人倒下,亦或是干擾虛擬現(xiàn)實(shí)軟件。
來自阿里巴巴移動(dòng)安全研究團(tuán)隊(duì)的Wang Zhengbo和Wang Kang在BlackHat大會(huì)上對(duì)聲波槍進(jìn)行了演示。把聲波槍對(duì)準(zhǔn)米兔機(jī)器人后,機(jī)器人立刻失去平衡,隨即倒下;對(duì)準(zhǔn)小米平衡車后,平衡車也不再“平衡”,這對(duì)于騎行者是非常危險(xiǎn)的事。
不過好在研究人員表示,由于平衡車外面有一個(gè)比較堅(jiān)硬的外殼削弱了聲波的強(qiáng)度,因此要讓攻擊生效,發(fā)射槍要放置在外殼里面。不過如果聲波槍的功率足夠大理論上還是能夠穿透外殼的。
盡管安全“兩會(huì)”已經(jīng)結(jié)束,但正如我們?cè)趫?bào)道文章《安全“兩會(huì)”Black Hat與DEF CON大會(huì)這20年來的變遷:不只是規(guī)模在擴(kuò)大》中提到的,BlackHat和DefCon大會(huì)給現(xiàn)實(shí)世界帶來的是實(shí)實(shí)在在的影響,這些精彩紛呈的演講給大家?guī)淼牟粌H僅是一次次的破解,更是安全意識(shí)的普及。
最后送上福利:DEF CON 全部 PPT:https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/