互聯(lián)網(wǎng)圈有一個定律：一個牛人，會吸引來一群牛人。

這個道理特別適用于騰訊安全玄武實驗室。

又到了向安全行業(yè)以外的群眾安利一個“TK教主”的環(huán)節(jié)：于旸，人稱“ TK 教主”，是國內(nèi)頂尖白帽黑客之一，從事信息安全研究 17 年。

從醫(yī)學(xué)界“婦科圣手”轉(zhuǎn)行到安全圈以來，他一直頗受各界男女老少的喜愛，上能給奧運會信息網(wǎng)絡(luò)安全指揮部當(dāng)技術(shù)專家，下能接地氣在新浪微博當(dāng)一名網(wǎng)紅科普博主。

▲TK教主

那么，他帶領(lǐng)的一群牛人平常做點什么呢？

一件事：挖漏洞。

兩件事：挖最牛逼的漏洞。

騰訊安全玄武實驗室官方解釋的工作范圍是：“專注研究各類漏洞的挖掘、利用、檢測、防御，以及涉及硬件、無線等方面的復(fù)合安全風(fēng)險，先后幫助眾多行業(yè)修復(fù)重大安全漏洞?！?/p>

具體有多牛逼呢？

2018 年初，玄武實驗室披露了影響國內(nèi)大量安卓 App 的“應(yīng)用克隆”攻擊模型，通過 CNCERT (國家互聯(lián)網(wǎng)應(yīng)急中心)向 App 廠商通報了這個情況，并提出了解決方案。

以一個主流支付類 App 為例，未修補這個漏洞前，在升級到最新安卓 8.1.0 的手機(jī)上，利用 App 自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信。用戶一旦點擊，其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進(jìn)行消費。

玄武實驗室在 200 個移動應(yīng)用中發(fā)現(xiàn) 27 個存在漏洞，都是主流 App ，因此，很多廠商經(jīng)歷了一場地震式的修復(fù)和緊張的公關(guān)大戰(zhàn)。

去年 10 月，騰訊安全玄武實驗室披露了在安卓手機(jī)中普遍應(yīng)用的屏下指紋技術(shù)的嚴(yán)重漏洞——“殘跡重用”漏洞，由于漏洞影響大，他們在發(fā)布這個消息前就聯(lián)合手機(jī)上下游廠商修復(fù)了這個漏洞。

后來，他們又在世界頂級黑客盛會 Black Hat 2019上演示了對Face ID 的研究成果。

馬彬和陳昱是玄武實驗室的安全研究員，專攻生物識別，研究 Face ID之前，他們接到了一個 2D 人臉識別產(chǎn)品的安全測試任務(wù)。

他們最初使用打印出來的高清照片一直破解失敗，于是，馬彬通過一系列逆向分析去尋找原因，發(fā)現(xiàn)識別算法中存在一些有關(guān)識別矩形邊框的邏輯。于是，靈機(jī)一動的陳昱把打印出來的高清照片的直角邊剪成鋸齒狀，放到三腳架上用手機(jī)對著識別，順利通過了這套人臉識別系統(tǒng)。

當(dāng)然，對 Face ID 的破解要難多了。蘋果公司在 iPhone 的 Face ID 人臉識別系統(tǒng)中，使用了注視檢測這一活體檢測功能，該功能要求用戶眼睛睜開而且正視手機(jī)時才允許解鎖。

兩個研究員發(fā)現(xiàn)，平時戴著眼鏡也能通過 Face ID 解鎖手機(jī)。而當(dāng) Face ID 識別到用戶戴著眼鏡時，就會自動跳過對眼部區(qū)域 3D 信息的提取，所以只需要找到 Face ID 如何掃描用戶眼睛進(jìn)行活體檢測，就能完成破解。 

于是，他們制作了一副眼鏡原型——X-Glasses 以模仿眼睛的構(gòu)造，并將這款特殊的眼鏡戴在模擬者臉上，成功“欺騙” Face ID，解鎖手機(jī)。

今年 10 月 24 日，陳昱又做了驚人的破解：攻破屏下超聲波、傳統(tǒng)光學(xué)、屏下光學(xué)、電容指紋識別技術(shù)。

在觀眾接觸過一個玻璃水杯后，陳昱先是拿出手機(jī)拍攝觀眾留存在水杯上的指紋，隨后在手機(jī)上調(diào)試之后“克隆”了一個全新的指紋，利用這個“新指紋”通過了該觀眾提前錄好指紋的 3 臺手機(jī)和 2 臺考勤機(jī)的指紋識別。

這次攻擊成本加在一起才1000多元，軟件只是一部手機(jī)、一個指紋破解 App，當(dāng)然了，核心技術(shù)可能就是這個神秘的破解 App 了。

不過，在吃瓜群眾猛拍小手，對這個破解項目表示驚嘆之余，TK 教主在隔壁的采訪間悄悄告訴雷鋒網(wǎng)：“我們希望有些驚爆的東西出來。但有時候，太驚爆的東西，我們要考慮人民群眾的承受能力。我們到極棒上來的項目，甚至不是我們最驚爆的東西。”

那又是什么？來看看 TK 教主的回答，和雷鋒網(wǎng)一起挖掘一個牛人如何帶領(lǐng)一幫牛人在做什么驚天項目的故事。

1.為什么選擇帶這些項目到極棒上做破解？

TK 教主：以去年屏下指紋的問題為例，我們之所以拿出來，是因為我們已經(jīng)在前半年協(xié)助全中國的廠商修復(fù)了這個問題，否則，那是非?？膳碌囊粋€問題，它的攻擊成本非常低，沒有什么門檻。

現(xiàn)場我們跟主持人說怎么搞，幾句話就教會了。主持人親自動手，不需要別人協(xié)助，就完成了這樣一種攻擊。

今年的破解項目從技術(shù)上看是去年項目的升級版，但在技術(shù)上沒有直接關(guān)聯(lián)，我們用一套技術(shù)可以繞過基本目前所有的指紋識別技術(shù)。也就是說，我們仿真出來的東西跟真的可能沒有什么區(qū)別。

跟去年不一樣的是，今年的破解項目技術(shù)門檻非常高，是真正技術(shù)難度的挑戰(zhàn)。去年的操作原理很簡單，一旦知道了以后，人人可為。今年的破解項目上，大家都能想到思路，人人都知道指紋是可以提取的，但把提取的指紋還原到手指的樣子，難度很高，所以大家也不用太恐懼。

大家看電視上那些跑酷項目，跑酷的人徒手上三四層樓，從陽臺翻進(jìn)我家，看起來超級簡單，但跑酷這件事情，不是什么人都能干，這是同一個道理。

2.你們好像最近一直在做指紋、聲紋、人臉識別等，玄武實驗室的研究方向到底是什么？

TK 教主：你剛才說的人臉相關(guān)的技術(shù)，不只是 FaceID，我們的研究包含了各種跟人臉相關(guān)的東西。因為大家一看到 “FaceID” 這個詞就很關(guān)注，其實這只是當(dāng)時我們演講里很不起眼的其中一點。這些技術(shù)都跟身份認(rèn)證、支付安全相關(guān)，是我們實驗室很重要的一個研究方向，因為我們需要為支付業(yè)務(wù)保駕護(hù)航。我們研究這些，就要探索安全邊界在哪里，因為只有探索到邊界，才知道安全區(qū)域是什么地方。這樣我們才能劃出一個安全區(qū)間，給相關(guān)業(yè)務(wù)保駕護(hù)航，你有探索邊緣的能力的時候，才能給疆土內(nèi)保駕護(hù)航。

我們實驗室現(xiàn)在有不到 30 個人。我們分三個大組。一是生態(tài)安全組，研究與騰訊用戶生態(tài)相關(guān)的東西；一是基礎(chǔ)安全研究組，研究和安全底層技術(shù)有關(guān)的東西，為整個實驗室提供能力的支撐；一是前沿安全研究組，10 月 24 日上臺的同學(xué)就是前沿安全研究組的，這是我直接帶的一個組，對剛才我們提到的生物識別、硬件、移動相關(guān)的技術(shù)往前做的探索性的工作。

我們整體的研究方向，可以從技術(shù)和業(yè)務(wù)兩個角度看：從業(yè)務(wù)維度看，我們會關(guān)注云業(yè)務(wù)、支付業(yè)務(wù)、即時通信業(yè)務(wù)。從技術(shù)方向看，我們對網(wǎng)絡(luò)、Web、操作系統(tǒng)、硬件、生物認(rèn)證都會關(guān)注。

3.所以這些就是幫微信支付做的？

TK 教主：微信支付是我們一個內(nèi)部服務(wù)對象。

4.聽說你們還在幫騰訊 B 端的業(yè)務(wù)做支撐，是哪些？

TK 教主：我們還有很重要的一個研究方向是云安全。云安全可能不是極棒的關(guān)注對象，但是，是我們很重要的研究方向。今年我們在騰訊內(nèi)部，對云這塊已經(jīng)做了很多工作，只不過這部分工作可能是不為人所知的。

我們實驗室有兩部分的責(zé)任或職能。一部分是對騰訊內(nèi)部核心業(yè)務(wù)的保駕護(hù)航，也有一些外部客戶，我們也會用我們的能力。因為轉(zhuǎn)向產(chǎn)業(yè)互聯(lián)網(wǎng)之前，大部分的能力我們是放在內(nèi)部，對內(nèi)的，現(xiàn)在我們會分出一部分的能力去服務(wù)于外部客戶。

我們在走一些相對比較中間的路線，會基于自己的產(chǎn)品，對外提供服務(wù)。目前我們正在研發(fā)的打算對外提供的是放在云上的東西。已經(jīng)落地的是我們自己做的一些工具類產(chǎn)品，基于這些產(chǎn)品，我們目前主要為國內(nèi)的手機(jī)廠商提供服務(wù)。

5.你們要幫助云安全團(tuán)隊做紅藍(lán)軍對抗嗎？

TK 教主：這只是一方面，也有一些正在做的項目，也許可以讓大家知道，在不久的未來，大家能知道一點。我們跟騰訊云的合作目前是云的基礎(chǔ)架構(gòu)的安全和云上業(yè)務(wù)的安全。

6.和小米的合作主要在哪個層面？

TK 教主：目前我們和小米的合作落地在手機(jī)產(chǎn)品上，手機(jī)產(chǎn)品中的安全內(nèi)容。

7.你曾提到，搞研究要保持產(chǎn)出，要有個 idea 池。維持一個至少夠用三五年的 idea 池，可以做到手里有糧，心里不慌，要多看多查多想，經(jīng)常補充 idea 池的水位，最近你從池子里拿了什么出來做研究？

TK 教主：我們實驗室的很多研究是從我的 idea 的池子里來的。2015 年，我們當(dāng)時搞了條碼閱讀器的研究，那是我很多年前的一個idea，去年的屏下指紋也差不多是我在閱讀相關(guān)資料時想到的一個點。還有一些是我們面向內(nèi)部的研究，不便在這里講。我們現(xiàn)在正在進(jìn)行的一些研究是基于去年4、5月份的一個idea 。

8.明年會有展示嗎？

TK 教主：還不好說，還在做。產(chǎn)生這些 idea，需要基于你自己對技術(shù)的了解，我會花一部分時間去看各種不同的技術(shù)，然后思考其中跟安全可能有關(guān)的地方，這是我很重要的一個方向的工作。

（編者注：TK 教主的這些 idea 都是寫在本子上，不是儲存在計算機(jī)里，打掃衛(wèi)生的阿姨如果在騰訊看到一個常年穿著 T 恤的大漢的辦公桌上有一些奇奇怪怪只寫了幾句話的紙條，請注意，不要丟棄，這是 TK 教主的靈感≈“KPI”。 ）

9.不同支線之間的技術(shù)會給你帶來新的靈感嗎？

TK 教主：這是非常重要的。我對各種不同的科技都比較感興趣，而且在我的工作中，也確實發(fā)現(xiàn)我了解的各種各樣的不同門類、學(xué)科的技術(shù)會對我的網(wǎng)絡(luò)安全研究工作帶來很大的幫助，無論是思路上，甚至是很直接的東西，我在有些研究中會很直接地用上對其他方面的了解。比如具體到 10 月 24 日上，玄武實驗室的研究者遇到了一些問題，我對機(jī)械工藝跟材料學(xué)都比較熟悉，就可以給他提供一些幫助。

10.實驗室里的年輕研究者如果遇到研究上的瓶頸，你怎么幫助他？

TK 教主：這是我很重要的一個工作。每個人有不同的性格，不同的狀態(tài)。確實會在人生發(fā)展過程中，在他們的技術(shù)道路上，大部分人都會遇到自己的瓶頸，而且可能在不同階段會遇到不止一個，這是因人而異的。

佛教里有個概念是“障”，我們要破這個“障”，需要我根據(jù)他當(dāng)前遇到的問題告訴他，你遇到的問題其實它的本質(zhì)是什么，如果是性格上的問題，你就要破性格方面的一些問題，或是信心的問題。

安全研究有個特點，你做的事情都是別人認(rèn)為不可能的，如果別人認(rèn)為可能，別人就做了。你做的都是“逆天”的事情，所以很容易在做的時候陷入自我懷疑，這樣可以嗎？會不會忙了半天白費力氣？

這是一種常見的“障”，要破這個“障”，首先要相信這個事情，一定是 OK 的，怎樣幫人樹立信心，這是我要做的工作。

11.要樹立信心，破這個“障”，或者遇到一個特別慫的研究員，你會慫恿他去蹦個極嗎？

（編者注：這個問題不是雷鋒網(wǎng)問的，但 TK 教主的答案很有意思。）

TK 教主：不用這么極端的方法。自實驗室建立以來，我給大家的方向，迄今為止所有的方向，最后被證明了不可行的，只有一次，我告訴你可以做的，基本都可以做。那一次“不可行”是什么原因呢？我們后來發(fā)現(xiàn)，當(dāng)時那個同事沒有做出來，但若干年后國外一個研究者稍微變化了角度以后，做出來了，大方向還是可行的。

我們不會用蹦極這種方式，還是具體到工作本身來談。比如遇到困難，我會幫他把下一步的可能性再梳理一遍，還有哪些點你還沒有看，我會幫他規(guī)劃。大部分人覺得畏縮不前的時候，是因為看得太遠(yuǎn)了，比如看到太平洋那邊。我會說，你不要先說造船，先試一試能不能砍倒這棵樹，樹砍倒了，把樹皮削完，再砍一棵樹，重復(fù)這個過程，再看能不能造一艘船，一步步來，分解以后，他就會覺得，這好像是可達(dá)到的。

▲TK 教主在極棒 2019 現(xiàn)場

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。