“親愛的，今天去看演唱會吧?！?br/>

“好的?！?/p>

“哇，全場統(tǒng)一變換的熒光棒，也太酷了。”

“酷嗎，我能控制整場熒光棒顏色你信不信？想換哪個顏色換哪個顏色?！?/p>

“真的嗎？”

……（以下省略技術(shù)男在演唱會現(xiàn)場操控全場熒光棒變色并且不走心告白女主角的瑪麗蘇劇情）

事情就是這樣的，雷鋒網(wǎng)編輯在剛剛結(jié)束的 FIT 2019 大會上看到了由360天馬安全團(tuán)隊研究員楊蕓菲主演一出情景劇——技術(shù)男一招操控?zé)晒獍糈A得女友的愛，女主角：不重要。

雖然劇本和臺詞略有土味，但“黑”掉演唱會熒光棒的過程卻很有趣。

改變熒光棒顏色，可以嗎？

據(jù)楊蕓菲說，以上場景來源于他真實的個人經(jīng)歷。

喜歡看演唱會的追星女友每次看完五月天演唱會都要向他夸贊現(xiàn)場，并秀一下拿回來的熒光棒，“現(xiàn)場統(tǒng)一控制，特別有排面！”

而他當(dāng)時的想法是，“有什么了不起，我要找找有沒有什么安全漏洞可以控制你的熒光棒?！保ㄓ肋h(yuǎn)不要試圖理解一個技術(shù)男的腦回路）

有了這個想法楊蕓菲先去了解了一下群控?zé)晒獍舻脑恚鋵嵕褪侵醒肟刂婆_以RF廣播形式發(fā)射信號，熒光棒接受信號進(jìn)行對應(yīng)顏色變化，以此控制全場熒光棒與舞臺燈光、現(xiàn)場音效形成比較好的視覺效果。

五月天演唱會現(xiàn)場

這種控制其實有多種模式，比如群控模式就是讓所有熒光棒在同一時間實現(xiàn)整體顏色變化，響應(yīng)時間可以做到100幀/秒?？刂破髅總€鍵值對應(yīng)不同的顏色變幻模式，如固定顏色常亮、關(guān)閉、閃爍、順序變幻等；還有點控模式，可以單獨控制每一個熒光棒的顏色變幻，全場熒光棒形成特定字母、圖案；另外也有分區(qū)控制和聲控模式等。

也就是說，熒光棒只是一個接收端，重點還在控制器上。所以怎樣才能模擬成控制器發(fā)出控制信號呢？

起初楊蕓菲和團(tuán)隊伙伴們聊了聊，大家的想法是去演唱會現(xiàn)場采集發(fā)射器的信號進(jìn)行回放，但……票價略貴。原本他打算從網(wǎng)上購買該款熒光棒的控制器，但拆開女友帶回來的熒光棒，也找到了熒光棒的廠家，但發(fā)現(xiàn)他們根本不對外售賣。

不過還有萬能的某寶可以尋找相似設(shè)備。

隨后，楊蕓菲就聯(lián)系到一個銷量較好，甚至已經(jīng)賣到了某些企業(yè)年會、體育館活動現(xiàn)場，還實現(xiàn)了DMX控制器的賣家（DMX512燈光控制協(xié)議和接口，可連接DMX控制臺，由燈光師統(tǒng)一控制光棒顏色變化），賣家很貼心的為小型環(huán)境特意設(shè)計了小型控制器，報價150元，大型控制器1500元。通過套話，楊云菲得知大型控制器也沒有發(fā)出特殊信號，只是二者功率有所差別，大型控制器可控制萬人以上場合，小型只能控制千人。

拿到小型控制器后就可以開啟副本模式了。

三步走？

一場演唱會的燈光效果要預(yù)演多久？總歸不是一個極短的數(shù)字。但要破壞卻可能輕而易舉，成為“上帝之手”控制演唱會熒光棒也許只需要三步。

第一步，找到控制臺的工作頻率。

第二步，通過與目標(biāo)無線系統(tǒng)頻率相同的監(jiān)聽設(shè)備（如HackRF One），采集原始信號。比如控制器按鍵轉(zhuǎn)換綠色熒光效果，會發(fā)送無線電波，采集此時信號；轉(zhuǎn)換紅色熒光效果，會發(fā)送另一段不一樣的無線電波，采集此時信號。

楊蕓菲所用的HackRF One設(shè)備

第三步，發(fā)送之前采集的信號。

當(dāng)目標(biāo)系統(tǒng)沒有考慮信號重放的問題，直接截獲一段信號重放出來，就能影響目標(biāo)系統(tǒng)，達(dá)到熒光棒變色的效果。

楊蕓菲告訴雷鋒網(wǎng)，他購買設(shè)備前就推測這些熒光棒沒有考慮重放問題。因為對于廠家來說，如果加上類似滾動碼等防護(hù)機(jī)制，不僅會提升實施難度，而且會造成成本增加，對于一個低成本的設(shè)備而言是無法接受的。

除了上面提到的重放攻擊形式，楊蕓菲還研究了另一種攻擊方式——欺騙攻擊。采集原始信號后根據(jù)波形分析出0101的原始數(shù)據(jù)，嘗試尋找造成顏色變幻的關(guān)鍵碼位，然后對癥下藥，直接修改碼位就可以改變顏色。然后再通過GNU Radio軟件模擬出來。

相比重放攻擊，這種方式需要在一定程度上了解報文的構(gòu)成，相當(dāng)于自己敲代碼，而重放攻擊相當(dāng)于直接拷貝了程序。 

在FIT大會的最后，楊蕓菲還另外使用了一個特殊的工具來控制全場的熒光棒HackCube-Special ，就是這貨，一個長寬高是3cm的小立方體。

HackCube-Special 是一款360自研的低成本，便攜式，可工作在多個無線射頻頻段的無線電安全審計平臺。

據(jù)說做這款產(chǎn)品的初衷是因為做無線安全研究的工作中，技術(shù)小哥們常常在戶外環(huán)境中對一些設(shè)備進(jìn)行安全檢測，需要抱著電腦，連接無線設(shè)備，蹲著或者坐在地上，總是吸引不少人的眼球，十分尷尬。

所以這款能裝進(jìn)口袋的小玩意兒除了能通過手機(jī)或者平板電腦，方便的對設(shè)備進(jìn)行安全審計，更重要的是，酷?。。ìF(xiàn)場破解視頻見雷鋒網(wǎng)宅客頻道公眾號文章）

楊蕓菲偷偷透露，在HackCube-Special 社區(qū)里有豐富的案例，畢竟使用固定碼遙控信號的設(shè)備太多了。比如平時停車場的抬杠，或者家庭常見的無線門鈴以及煙霧報警器、門磁報警器，甚至某個女性用的無線情趣用品的也是這種方案……

行吧。

相比起來這些場景都比熒光棒場控被攻擊帶來的危害大，所以為什么楊蕓菲會去研究它？

應(yīng)援色PK？

用他的話說是未雨綢繆，舉個例子，幾年前他們曾經(jīng)研究過一個關(guān)于“隔空盜刷”的攻擊方式，而這種攻擊方式已經(jīng)被黑客團(tuán)伙用于實際攻擊。

一周前就有媒體曝光警方抓捕了一個犯罪團(tuán)伙?，F(xiàn)在很多銀聯(lián)卡都換成芯片卡的，芯片卡都默認(rèn)會開通免密支付，也就是閃付功能，小金額的消費不需要輸密碼或者簽名，pos機(jī)感應(yīng)到芯片卡的這個閃付功能，就會自動消費的了。

犯罪團(tuán)伙利用一部設(shè)置好的pos機(jī)偷偷靠近下手對象感應(yīng)一下。感應(yīng)距離大概是5公分。由于免密支付最高限額是1000元，所以每次嫌疑人都是設(shè)定999以下，專門選擇到人流密集場所逛街，就這樣走一圈“收獲”也不少。

所以，盡管熒光棒這個攻擊很簡單，似乎也不涉及利益，但如果有一天演唱會的現(xiàn)場有人能通過簡簡單單的重放攻擊就能影響周圍熒光棒的話，門檻如此之低，未來可能真的有人這么做。

畢竟飯圈如戰(zhàn)場，比如TF boys王俊凱應(yīng)援色是藍(lán)色，王源是綠色，易烊千璽是紅色。每年的應(yīng)援色大戰(zhàn)也愈演愈烈，甚至有新聞報道出現(xiàn)粉絲因熒光棒顏色大打出手的事件。

“總要有一個人率先站出來想這些還沒出現(xiàn)的事情，即使現(xiàn)在可能沒有這樣的攻擊，不代表未來不會出現(xiàn)，走在前面總是好的?！?/p>

最后，據(jù)說在主辦方設(shè)計的劇情中還有深情告白和獻(xiàn)花，但被楊蕓菲pass掉了。

不過如果把對象換成女朋友，這種方式的確是屬于技術(shù)男的浪漫。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒技術(shù)，講述黑客背后的故事。歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。