雷鋒網(wǎng)按：本文來自 硬創(chuàng)公開課 | 網(wǎng)絡(luò)安全那些事兒專場(chǎng)的分享。

分享嘉賓：劉健皓，知名黑客，360網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室資深研究員。曾經(jīng)在2014年破解特斯拉汽車，2015年協(xié)助舉辦HACKPWN黑客大會(huì)，破解了市面上主流的智能硬件，包括攝像頭，洗衣機(jī)，烤箱，智能安防等設(shè)備。

【劉健皓】

作為一名破解了無數(shù)智能產(chǎn)品的黑客，怎么看315晚會(huì)的“黑客秀”？

315晚會(huì)暴露出來的問題主要分兩個(gè)方面：

一部分是智能硬件自身的問題，

還有一大部分是網(wǎng)絡(luò)環(huán)境和應(yīng)用的問題。

從黑客的角度來看，這兩個(gè)方面是有區(qū)別的。我覺得這個(gè)晚會(huì)披露了這些漏洞的目的就是為了讓我們身邊的智能硬件更安全。央視為了提高國(guó)民的安全意識(shí)，采用這種手段曝光是可以理解的。

從我的角度來看，315暴露出來的都是一些在圈內(nèi)已為人知的秘密。（其實(shí)在我手里，還有很多的秘密，就不告訴你~就不告訴你~~）

【315晚會(huì)上，黑客展示黑掉一架無人機(jī)】

我們身邊的智能產(chǎn)品存在哪些安全問題？

我研究很多智能硬件以來，總結(jié)出來了一些規(guī)律，一般智能硬件在訪問控制，身份驗(yàn)證，加密傳輸這三點(diǎn)出現(xiàn)的問題最多。還有一些是在硬件層面，設(shè)計(jì)層面出現(xiàn)的問題。

我們破解的大多數(shù)智能硬件都是因?yàn)樵谑謾C(jī)終端和云端直接沒有加密傳輸?；蛘呒用軓?qiáng)度不夠，密鑰封裝在APK里。這樣我們就可以還原整個(gè)登陸，通信，控制的流程，然后進(jìn)行分析，從而劫持控制智能設(shè)備。這個(gè)是針對(duì)智能硬件縱向的破解。（這種劫持是指：在非授權(quán)控制的情況下，通過控制劫持獲得與授權(quán)登陸用戶有同樣的控制權(quán)限。）

發(fā)現(xiàn)能夠控制到智能硬件自身之后，我們就會(huì)想辦法看看能不能橫向影響到其它設(shè)備。橫向的控制就是去看，設(shè)備的身份認(rèn)證標(biāo)識(shí)是怎么設(shè)計(jì)的。很多智能硬件廠商是拿MAC地址做為身份認(rèn)證的唯一標(biāo)識(shí)的。然而MAC地址的規(guī)律是可循的，所以可以通過遍歷MAC地址控制這個(gè)廠家的所有設(shè)備。另外，智能硬件的訪問控制措施不當(dāng)，也可以造成橫向大面積的控制某個(gè)智能硬件。

根據(jù)智能硬件的種類不同，我可以分別舉例來說：

智能攝像頭：攝像頭安全除了我說的身份驗(yàn)證、訪問控制、加密傳輸這幾點(diǎn)以外，還有一些自己的特性。目前很多攝像頭都會(huì)使用RTSP協(xié)議跟客戶端建立連接，在網(wǎng)絡(luò)傳輸過程中泄露了RTSP的連接地址，這樣直接拿個(gè)VLC播放器（通用播放器）就可以播放攝像頭的視頻內(nèi)容了。

智能門鎖：智能門鎖有很多都使用的藍(lán)牙4.0 BLE技術(shù)。對(duì)于 BLE 節(jié)點(diǎn)的調(diào)試模式有些廠商是沒有做加密，也沒做認(rèn)證的。所以，黑客直接用 Little blue 這樣的軟件，就可以調(diào)試功能，把門鎖打開。

智能報(bào)警器：智能報(bào)警器、傳感器，往往是智能硬件平臺(tái)的控制中心，根據(jù)室內(nèi)溫度，光照等環(huán)境聯(lián)動(dòng)調(diào)節(jié)其它智能設(shè)備做響應(yīng)。所以攻擊智能傳感器往往可以橫向控制其它設(shè)備。目前市面上的智能傳感器都使用無線組網(wǎng)，類似 zigbee、BLE 這樣的技術(shù)。在無線組網(wǎng)技術(shù)的應(yīng)用中，如果在傳輸加密方面沒有做好，就有可能造成組網(wǎng)的密鑰泄露。最終黑客可以偽裝成智能傳感設(shè)備，控制其它的設(shè)備。

智能家電：烤箱，冰箱，洗衣機(jī)都是屬于智能家居，這些電器自身并不帶有智能的功能。廠家是通過增加智能芯片，用一些IOT的解決方案將控制請(qǐng)求，參數(shù)與白電主板對(duì)接。目前IOT芯片層面上的漏洞可以導(dǎo)致白電大批量的被控制，同時(shí)在IOT云端，物聯(lián)網(wǎng)協(xié)議這邊存在漏洞也可以導(dǎo)致批量的智能家居設(shè)備受影響。

【2015年HackPwn黑客大會(huì)，黑客展示黑掉一臺(tái)洗衣機(jī)】

黑客如何黑掉一臺(tái)智能設(shè)備？

作為一個(gè)黑客，我們有一套“葵花寶典”：一套IOT安全研究框架。

IOT是一種混合型技術(shù)，在這個(gè)技術(shù)框架里，如果沒有安全貫穿整個(gè)流程，就會(huì)出現(xiàn)漏洞。具體來說，我們破解智能硬件的過程是這樣的：

• 首先得先買一個(gè)要破解的產(chǎn)品過來，拿著它的APP把正常功能全跑通。

• 然后先從APP下手，看它的通信協(xié)議、抓包分析、實(shí)現(xiàn)流程等問題。

• 如果沒有問題，那就看云端API接口，看云端API和設(shè)備終端的協(xié)議，看云端跟手機(jī)端的通信。

• 如果還沒有問題。就需要拆設(shè)備了。拆開設(shè)備，看有沒有調(diào)試接口，進(jìn)入調(diào)試模式。

• 如果還沒有問題就得把FLASH吹下來，讀取固件進(jìn)行分析。

• 邊邊腳腳的地方也會(huì)看一下，比如無線協(xié)議、射頻等等。

大部分在應(yīng)用層能搞定的，我們就不動(dòng)硬件。找到漏洞就擴(kuò)大它的危害，看看結(jié)合智能硬件自身的功能，能對(duì)環(huán)境，用戶，網(wǎng)絡(luò)傳輸有什么影響。

如果在不刷寫固件的情況下，只能夠?qū)崿F(xiàn)對(duì)設(shè)備原有功能的控制；如果刷寫固件，就可以改造智能硬件的功能了。達(dá)到功能以外的控制。

我可以給大家分享一下我所破解的設(shè)備。

去年12月份我們破解過一款智能音響。

通過研究，我們可以實(shí)現(xiàn)對(duì)這個(gè)廠家的所有的智能音響的控制，播放指定的音源。這個(gè)音箱的振片比較薄，音質(zhì)也比較好，音域很寬。如果我們能通過漏洞播放次聲波的話，就可以讓所有的用戶都狂躁起來；或者讓他們感覺到恐懼，惡心，對(duì)身體有極大的傷害。如此說來，這個(gè)漏洞就危害到了地球的和平了。（呵呵呵，腦補(bǔ)一下而已。）

現(xiàn)在市面上有很多看家機(jī)器人。

如果這一類看家機(jī)器人被黑客控制，就會(huì)成為小偷的幫兇。小偷黑進(jìn)這些機(jī)器人，可以控制他們?cè)谖葑永镒邉?dòng)，查看主人是否在家，查看貴重物品存放在什么地方。畢竟小偷會(huì)技術(shù)，流氓也攔不住呀。

另外，黑客還可以控制智能汽車。

黑客對(duì)汽車的破解在不斷的深入。原先是通過OBD對(duì)汽車協(xié)議CAN進(jìn)行逆向，然后發(fā)送一些控制ID 和數(shù)據(jù)控制汽車?，F(xiàn)在有了車聯(lián)網(wǎng)，就可以通過網(wǎng)絡(luò)直接控制汽車，斷油，剎車等危險(xiǎn)動(dòng)作。如果汽車被攻擊，可能你上了汽車掛上自動(dòng)駕駛就睡覺了。醒來就在河溝里了。

黑客黑掉了一個(gè)智能產(chǎn)品，然后呢？

我們發(fā)現(xiàn)漏洞之后，會(huì)通過補(bǔ)天平臺(tái)跟廠家直接聯(lián)系。有些廠家很積極地就修復(fù)了漏洞，有些廠家會(huì)置之不理，以為我們是給他們找麻煩的。漏洞提交一定時(shí)間之后，我們可能會(huì)公開漏洞，但不提供技術(shù)細(xì)節(jié)，敦促他們修改。

其實(shí)，智能硬件行業(yè)的安全問題是很普遍的。由于公司內(nèi)部沒有專業(yè)的安全團(tuán)隊(duì)，安全意識(shí)也比較薄弱。而且目前很多智能硬件快速迭代，出貨量也很大。迭代快速的智能硬件，安全需求就會(huì)很多，如果沒有考慮到安全需求的存在，就有可能會(huì)出現(xiàn)安全問題?，F(xiàn)在很多黑客們都曝光了很多智能硬件的問題，研究者都對(duì)IOT這塊興趣度很高，我猜后面的安全問題可能會(huì)很多的被曝光出來。

從安全研究員的角度，我建議智能硬件的廠家首先在功能設(shè)計(jì)上就要考慮有遠(yuǎn)程OTA的功能，用于修復(fù)可能存在的漏洞。如果設(shè)計(jì)時(shí)沒考慮，可以通過在云端做一些訪問限制，降低漏洞的危害。沒有遠(yuǎn)程升級(jí)的話，可以讓用戶自己下載固件，本地升級(jí)設(shè)備。再不行，可以效仿整車廠，給用戶發(fā)一個(gè)升級(jí)的U盤讓用戶自動(dòng)升級(jí)。

我們能夠等到放心購買智能產(chǎn)品的那一天嗎？

實(shí)際上，IOT（物聯(lián)網(wǎng)）的安全問題還是很嚴(yán)重的。

• 今年RSA 2016 有一個(gè)調(diào)查說，IOT是隱私泄露的災(zāi)區(qū)。IOT設(shè)備通過傳感器和控制器，采集到的都是與用戶相關(guān)的生活數(shù)據(jù)和位置數(shù)據(jù)，這些數(shù)據(jù)如果被加以利用一定會(huì)有“價(jià)值”。

• 很多智能硬件不會(huì)對(duì)用戶造成直接危害。但是黑客可以利用它們的漏洞植入后門，進(jìn)而控制設(shè)備。這樣攻擊者就可以利用智能硬件發(fā)起大量的拒絕服務(wù)攻擊，攻擊互聯(lián)網(wǎng)目標(biāo)。

作為普通的用戶，需要對(duì)于自己身邊的智能硬件設(shè)備的漏洞進(jìn)行一些關(guān)注，平時(shí)可以在搜素引擎里面搜相關(guān)的產(chǎn)品和漏洞。

如果擔(dān)心自己的設(shè)備被黑，也可以自己做簡(jiǎn)單的測(cè)試：如果你的設(shè)備運(yùn)行狀態(tài)異常，網(wǎng)絡(luò)流量異常，那么有可能自己的設(shè)備有可能被黑。這可能需要有一個(gè)能夠記錄流量的網(wǎng)關(guān)設(shè)備來統(tǒng)計(jì)流量變化。目前市面上大部分的智能路由器同支持終端流量統(tǒng)計(jì)的。

一般情況下，我們發(fā)現(xiàn)自己的設(shè)備被黑，盡量的先初始化這個(gè)設(shè)備的系統(tǒng)。然后把設(shè)備設(shè)計(jì)到最新版本，如果最新版本有漏洞，那么就等待廠商補(bǔ)丁。不要把設(shè)備的管理端口暴露在公網(wǎng)。

現(xiàn)在已經(jīng)進(jìn)入到工業(yè)4.0時(shí)代，智能制造時(shí)代。智能硬件可以讓我們的生活更方便，所以這個(gè)行業(yè)一定會(huì)大有發(fā)展。至于安全性，需要國(guó)家、安全公司，智能硬件制造商的多方努力，建立一套行業(yè)的信息安全標(biāo)準(zhǔn)、規(guī)范、指南，才能指導(dǎo)廠商開發(fā)出來安全的智能硬件。

這樣的話，我們肯定能等到能夠放心購買智能設(shè)備的那一天。畢竟我們還年輕。。。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。