他们把小米、360 的手机、大疆和 Parrot 飞行器、各种刷卡机和无数智能家居产品都破解了。
在上海,一群白帽黑客聚集在浦东的喜马拉雅中心,对市面上各种硬件软件展开一场破解大赛。
在我进场之前,组织人员特意提醒不要连接现场的无线网络、关闭手机蓝牙,因为可能被黑客破解。去年的 Geekpwn 活动在北京举办,当时现场提供两个 Wi-Fi,一个专门用来给黑客破解玩,一个给参会的人用,结果还是有人偷了后者的信息。
那次活动,现场随机一位观众在自己的手机上用微信控制特斯拉汽车,演示了开关车门、从前行突然变为倒车、突然熄火的过程,背后是 Keen Team(基震安全研究团队)花 4 个月时间发现和破解漏洞。
Keen Team 是活动组织者,这是一个非常神秘的团队。
他们的传奇包括在全球顶级黑客大赛 Pwn2Own 中连续三年夺得冠军。2014 年,这个团队用 20 秒攻破了有「不败金身」之称的苹果 Mac OS 系统,之后又用 15 秒攻破 Windows 8.1 Adobe Flash。2013 年在东京举办的 Mobile Pwn2Own 比赛中,他们用 30 秒攻破了 iOS 7.0.3 系统。他们还连续四年获得 ZDI 全球计算机漏洞挖掘白金奖,ZDI 是一个奖励安全人员披露漏洞的组织,它的客户包括美国安全部和五角大楼。
这个团队现在有四十多人,其 COO 吕一平曾经这样概括团队的组成:「二分之一是各地的历年高考状元,二分之一是数学专业,二分之一来自微软」。它的核心成员都是国内顶级黑客。
CEO 王琦的上一份工作是微软,他在那里修复 Windows 系统漏洞,越做他越发现这其实对用户没多大帮助,因为很多本地用户都改用 360 安全卫士了。后来他又调查被黑客入侵的微软客户,他发现这个岗位太简单做的事也重复性太强,于是离开了公司创立 Keen Team。
「我们叫自己极客,而不是黑客,我们并不希望让别人以为我们搞破坏。」王琦曾经在接受一家网站的采访时说。
( 王琦,Keen Team CEO,他更希望别人称呼自己极客,而不是黑客。图/袁胜)
不管怎么称呼,这群人的一个共同点是喜欢用技术攻破难关,用它开开玩笑更不在话下。Keen Team 对这点再了解不过,为此做了各种防备。现场有三十多个志愿者手持探测仪,他们在会场走动检测任何干扰信号。全场还安装了场强仪,它能测量空间中某一处电信号的大小。王琦告诉我,本来他们考虑在黑客工作区围上铁丝网屏蔽信号,探讨很久后放弃,因为这样外面的人看不见里面发生什么。
比赛开始后还是发生很多意料之外的情况。当第一个上台的黑客打算破解大疆 Phantom 3 无人机时,发现信号被干扰,破解无法进行下去。他们只能暂时离开舞台找一个封闭房间,评委在房间里拍摄破解结果然后拿到会场上放。视频里,一个年轻人穿蓝色 T 恤站在黑色电脑前,白色无人机和遥控器放在距离他一米多的地方。只见这位黑客在电脑上按一下,无人机的机翼快速旋转起来;又按一下,就停了;接着再按一下,无人机飞了起来。
(极棒大会上,一开始打算在台上破解大疆,结果信号受到干扰,起飞之后无法降落,好几次撞到墙。图/Keen Team)
另一个意外是厂商临时把服务器关闭。上午的比赛中一位黑客打算破解本地生活服务应用功夫熊 App 的 iOS 版本,他在上台前测试时还能收到 App 发过来的验证短信,上台后发现功夫熊的服务器不发送信息了,App 处于冻结状态。现场这位黑客试了三台苹果手机都遇到同样情况,推断这家公司临时关闭了服务器。下午的比赛中再次出现这种情况,这次是上门服务易家洁。
「这个其实我们也预料到了」,王琦一点也不觉得意外。「大部分厂商对安全不够重视,遇到事情才着急」,他说,不过情况也在变好,「过去如果你发现这种问题,你说出来没人信,现在厂商开始信了,但还是不太愿意。」
残酷的现实是,在黑客眼里,任何产品都有漏洞。
除了少数厂商临时关闭服务器和极少数失败外,黑客们把 GeekPwn 上列出的项目都破解成功了。
第一大类被破解的是智能家居产品。这些产品的共同点是都通过手机控制,黑客能拦截手机和硬件的通讯,获取登录 App 的账户名和密码就能控制 App 的智能设备。这发生在小米 SmartHome 智能家庭套装、海尔 SmartCare 智能家居套装、最新 Broadlink 智能设备身上。连接京东智能家居体系的长帝智能电烤箱也不能幸免,他们发现的那个漏洞可以通杀所有 Wi-Fi 连接网络并使用「京东微联」控制的几百种智能设备。
这些破解都有一个共同点——在不接触硬件本身的情况下控制它,成为它的主人。
王琦解释,从安全角度看,现在智能设备面临的问题都差不多。因为「现在所谓的智能都是伪智能」。他认为目前这些智能设备只是多了一个手机控制方式,并拿智能电风扇举例:真正的智能是知道用户坐在哪里,体温是多少,要开多大的风,往哪个方向吹。「真正的智能是基于数据而不是基于控制」,王琦总结。
财产安全是另一类被破解很多的产品。一上来一组黑客就破解了市面上市场占有率排第二的盒子支付 POS 机。这位黑客相当于成立了一家黑店,只要你通过这个 POS 机刷过卡,别人就能用这台 POS 机刷掉这张卡里的任何金额。王宇是这组破解的评委之一,他用这台刷卡机刷了 10.24 元,之后选手成功用 POS 机从卡里刷掉 888 元,交易结束后王宇收到来自银行的消费短信提醒。
(「受害者」王宇的手机收到了来自银行的消费提醒短信。图/袁胜)
市场排名第一的移动支付设备拉卡拉也不能幸免。黑客通过一系列操作成功把第一张卡的信息获取到电脑上,这样当黑客刷另一张卡时,真正使用的却是前一张卡,成功实现「刷自己的卡,花别人的钱」。
在线支付也不见得比刷卡机安全多少。嘟嘟美甲应用接入了支付宝,当用户在应用内选择支付宝支付时,信息被攻击者劫持,返回到支付宝的信息是被更改过的交易信息。
原先我以为指纹支付相当安全,结果他们破解了联想 ThinkPad 的指纹(选手说联想的漏洞比较多,比如直接将指纹信息储存在硬盘里,这样任何一个人以普通的 User 权限就能获得这些信息)和奇酷手机上的指纹解锁(360 方面回应称这个破解需要先解锁手机,然后将手机连接到电脑,认为这种破解没有意义,因为只有丢了手机且没有设置锁频密码的时候才可行。)
我们已经离不开的智能手机也被破解了个遍。尽管安卓系统在安全上有提升,但最新安卓手机仍然一个个中招:小米 4 C、华为荣耀 4A、360 奇酷手机、Nexus 平板电脑都被成功破解。正当我庆幸自己用的是苹果手机时,比赛最后 Keen Team 的张良演示了最新 iOS 9.1 系统的破解,他的破解方式不需要跟你同处一个 Wi-Fi 也不需要物理接触,就能获得你在手机上正登录的网站用户名和密码。
看完这一切有人对王琦感慨,「没有什么是安全的」。
王琦大叫「千万不要这么讲!」他最担心两个事:用户被吓到,厂商感觉被威胁。
安全和方便很大程度上是反义词,反应过度可能会伤害互联网的发展。我有几个极度关心隐私的朋友,他们至今拒绝使用智能手机,一出门就没有微信了,经常给见面造成不便。
这个世界的真相是——没有什么是绝对安全的,但也不是绝对不安全。永远都有两股力量在斗争,一种技术既能被用作好的用途也能被用于犯罪。至少 Keen Team 和参加 GeekPwn 的这些白帽黑客希望将破解技术用在好的方面。
Keen Team 不希望让厂商感觉受到威胁,在比赛前邀请了所有涉及到的厂商到场,这些人比赛后会获取破解细节;那些不能到的厂商,也会在比赛后 3 个工作日内收到安全问题细节。如果这些厂商确认问题存在并愿意修复,这个结果对大家都好。不过 Keen Team 也有尴尬的地方,他们并不能保证企业一定会修复漏洞,所以不排除会在第三方平台上公示这些漏洞。
在安全人员看来,有漏洞并不代表这个产品不好。尤其在移动互联网的今天,安全已经不只是一个应用的安全,即便 A 系统没问题,但跟它连接的 B 系统有漏洞,也会影响到 A,利用嘟嘟美甲修改支付宝交易是这个特征的典型表现。(支付宝在得知破解后特意发通告将自己撇清关系,但真的能完全撇清吗?)前段时间备受关注的 Xcode 事件更如此:苹果系统本身没问题,但整个生态体系有问题,于是让黑客趁虚而入。
幸好今天这些发现漏洞的人已经站在我们这一边。
头图来自视觉中国
