神秘超聲波讓智能設(shè)備癱瘓,中國發(fā)現(xiàn)者如何替世界補上bug?
他們是互聯(lián)網(wǎng)界的安全衛(wèi)士,用經(jīng)驗和預(yù)判發(fā)現(xiàn)可能存在的問題,尋找規(guī)律,最終在黑客發(fā)現(xiàn)之前,解決漏洞。
美國當?shù)貢r間7月27日(北京時間28日凌晨),美國拉斯維加斯黑帽大會(Black Hat USA)。
在這個全球互聯(lián)網(wǎng)頂級安全會議的講臺上,罕見地出現(xiàn)了中國互聯(lián)網(wǎng)人士的身影。來自阿里巴巴的兩名安全技術(shù)研究者受邀前往針對研究成果發(fā)表長達50分鐘的公開演講。
這兩位分別是阿里巴巴安全部資深安全工程師王正博和安全專家王康。他們受邀是因為一段27kHz(千赫茲)的超聲波。
一輛疾馳而過的平衡車突然倒地,懸空的無人機旋翼轉(zhuǎn)速的聲音發(fā)生了改變,VR眼鏡里的畫面開始顫抖。幾乎毫無征兆,高科技魔法突然失效了。
魔法來自一段神秘的超聲波,它讓智能設(shè)備由生活伙伴變回塑料與金屬。這是萬物互聯(lián)時代一個可能的黑客攻擊場景。王康與王正博提前模擬并預(yù)警了危機的存在。他們試圖提升物聯(lián)網(wǎng)時代各大廠商的安全閾值。
神秘的聲波
一個圓形小喇叭湊近了蘋果手機,喇叭的另一端連接到了一臺普通的實驗室信號源上,在那里可以調(diào)節(jié)聲波的頻率和功率。按下開關(guān)鍵之后,屏幕上水準儀的兩個小球劇烈晃動起來。
這看起來像是發(fā)生在高中物理實驗室中的實驗,卻是一次物聯(lián)網(wǎng)時代黑客攻擊行為的完美模擬。“通過聲波能干擾設(shè)備的重力和平衡系統(tǒng)的話,理論上也能通過它寫入信息。”王康解釋它的意義。
王康解釋了這場實驗的細節(jié)。信號源是普通物理實驗室的標配,成本不高,發(fā)射出來的是人耳聽不見的超聲波。手機屏幕上的水準儀出現(xiàn)的變化意味著通過聲波能成功干擾手機上的陀螺儀芯片。
背后的工業(yè)背景也不可不提。隨著工藝的發(fā)達和制造成本降低,微機電系統(tǒng)(MEMS, Micro-Electro-Mechanical System)被廣泛應(yīng)用到了許多電子消費品中。這些芯片的提供商不多,一般集中于幾家,最終的成品卻覆蓋了從手機、無人機到平衡車、VR眼鏡等多種消費品。硬件問題不同于軟件,一旦芯片本身存在物理可影響的漏洞,埋下的隱患不可小覷。
兩位安全工程師希望用最基礎(chǔ)的設(shè)備給廠商提個醒,物聯(lián)網(wǎng)時代安全隱患不僅來自算法和軟件層面,通過物理手段能生效的硬件漏洞也值得重視。
實驗萌芽是從2015年的GeekPwn會議上開始的。看到KAIST的研究,王正博和王康萌生了用聲音去攻擊測試微機電系統(tǒng)的念頭。
真正開始實驗是在2016年下半年。由于安全實驗室多為系統(tǒng)安全研究,他們不具備硬件實驗的設(shè)備,也沒有專門的場地來進行這場實驗。王康向清華大學(xué)物理實驗室借來了設(shè)備后,他們在自己工位上開始了這項測試。
聲音的頻率設(shè)置是個難題。去年下半年有一段時間里,望京阿里巴巴中心A座某一層的部分員工偶爾能聽到公司里傳來某種設(shè)備發(fā)出的尖銳的設(shè)備鳴叫。那是王康和王正博在做實驗測試具體的頻率。
為了不打擾同事,他們還躲進過一個小消防間。最終,他們發(fā)現(xiàn)頻率被調(diào)整為某個人耳聽不見的超聲波頻率時,攻擊起效了。
取得突破性的進展后。他們又反復(fù)測試,終于找準了27千赫茲后面小數(shù)點的具體數(shù)值。最終,他們先后在安卓和蘋果手機、VR眼鏡、無人機、平衡車等多種設(shè)備里成功測試了超聲波的干擾效果。
實驗的價值也被世界知名的安全界大會Black Hat所認可。王正博和王康今年3月份的投稿通過了會議的審核。當?shù)貢r間7月27日,他們要在美國的Las Vegas向來自全世界安全界同行講述自己的實驗成果——“超聲波如何干擾物聯(lián)網(wǎng)設(shè)備(IoT)。
Black Hat大會一年有三次,分別在歐洲、美國和亞洲三地舉行。這是安全界的盛會,由知名安全專家共同評審參會的論文。王康此前參加過歐洲的Black Hat,從他與同行的交流經(jīng)驗來看,美國的大會難度更高,分量也更重。
“由于過于前沿,這個漏洞目前還沒有看到被利用的方式,但通過了Black Hat的評審,說明業(yè)界認可這個問題的價值。”王正博說。
一場耐心拉力賽
王康一周要閱讀一萬條信息。
“你要看到對方主動釋放信息之外的信息。”說這話時王康仰著頭,略皺眉頭,嘗試找出一個案例。
每一束曙光的出現(xiàn)都不是理所當然的。
“我們更像是情報工作者,而不是信息閱讀者。”王康提到了自己對工作內(nèi)容的理解。王正博和王康都是清華大學(xué)物理相關(guān)專業(yè)出身,在阿里巴巴安全部工作,頂著工程師的名號,他們?nèi)粘5闹饕ぷ鲄s不只是寫寫代碼,而是要做安全領(lǐng)域的前沿研究。
一般說來,大公司的人事變化和戰(zhàn)略調(diào)整總是最容易吸引普通公眾眼球的,但安全人員不關(guān)注這些最熱點的事件。某家公司的某款產(chǎn)品使用了哪項技術(shù)他們更愿意研究。但這些信息并不會廣泛傳播,它分散在互聯(lián)網(wǎng)信息世界的各個角落里。
要避開充滿了無效信息的洋流,挑出具有安全價值的那些,從里面發(fā)現(xiàn)可能的方向與漏洞。為了更高效獲取信息,王康的手機里有一個RSS閱讀器。每天各大資訊網(wǎng)站和學(xué)界、業(yè)界的信息都通過這個工具自動匯總。
交流時有人說到了某部電影里提到了無人駕駛可能的漏洞,王康兩眼放光。他快速拉過朋友的電腦,霹靂巴拉一陣檢索,然后在手機上記錄下相關(guān)的結(jié)果。一切結(jié)束之后,他才繼續(xù)加入對話。
他們的辦公桌總是亂糟糟的,擺滿了各種奇奇怪怪的物件,跟普通工程師工作區(qū)的樣子大相徑庭。無人機、平衡車和各種不知道從哪里拆下的零件。
一個白色的方形大匣子,那是信號發(fā)生器,還有超聲波探頭、電烙鐵、熱膠槍、絕緣膠帶。
由于研究內(nèi)容較為超前,王正博和王康研究的內(nèi)容可能在未來三到五年里才真正會被利用。這帶來了一個問題,一家互聯(lián)網(wǎng)公司里為何要花精力去做這些研究,它的空間又能有多大呢。
兩位工程師的理解是,前沿研究是一家公司對未來的投入,它非常必要,公司所給的空間也非常珍貴。王正博覺得,有機會在阿里巴巴做研究是幸福的事情,目前從事的可能是能夠?qū)⒆约旱呐d趣和工作結(jié)合到一起最好的工作。
但他也有苦惱,研究的突破不太具備確定性,方向上可能需要不斷調(diào)整,大量的研究可能停留在概念階段就流產(chǎn)。以超聲波對IoT的影響為例,他們前后搗鼓了大半年,才真正有了突破并被國際認可。
一切需要耐心和時間去驗證,而這對一家商業(yè)公司而言難能可貴。王正博說,“我們也在做一些研究,嘗試在現(xiàn)有的業(yè)務(wù)方向上去做探索,從而應(yīng)用到業(yè)務(wù)中去。”
一名白帽子的自我修養(yǎng)
除了表達能力強之外,王康符合公眾對極客的固有想象。
他一副典型的程序員打扮,穿黑色T恤。不太注意個人外表,卻非常留意新奇的科技產(chǎn)品,有自己的個人站點,喜歡鼓搗各種高科技產(chǎn)品,對智能語音助手的各種玩法了然于心。
在交流中說到了智能音箱,王康的兩眼再次放光。他馬上調(diào)出自己的蘋果手機,用英文對著SIRI下指示,要求智能助手打開家里的燈。
那是他自己鼓搗出來的,原裝版本一千多元,他花了幾十元買了一款燈,做了改裝,最終能流暢實現(xiàn)原裝版的功能。“這里能調(diào)燈光的顏色”,他向其他人展示時有些眉飛色舞的意思。
他做了好些這樣的事。因為喜歡民樂,王康和朋友花了整整一下午拍了幾十張照片,他一個人扮演了樂隊里的所有角色。最后摳圖,整個樂隊都是他本人。那張照片被放在了他的個人主頁的愛好那一欄,不仔細看真看不出來有講究。“你不覺得二胡其實就是一個從294Hz到4kHz連續(xù)可調(diào)的聲波信號源嗎?”不一會兒,他的話語很快又從樂器轉(zhuǎn)向了物理原理。
王康習慣從事物中發(fā)現(xiàn)規(guī)律,然后去鉆研它的運行法則與漏洞。他用那一套方法向Linux內(nèi)核提交過代碼,貢獻了自己的解決方案。
從個性來看,王正博跟他的同事王康幾乎截然相反。他似乎沒有那么精確的信息收集方式,也不會有非常固定的程式化操作。他說起自己的日常習慣時,你看不出他跟黑客、安全這樣的詞匯有太多關(guān)聯(lián)。
但對信息的敏感度而言,他們?nèi)绯鲆晦H。VR是王正博關(guān)注的一大方向,他還在Google cardboard之前自己設(shè)計了一款VR手機架子。
那是Facebook重金收購Oculus之后的事。看到那則新聞,王正博意識到,基于手機的場景更容易讓大眾快速接觸這個技術(shù)。自己動手做VR眼鏡的念頭在他腦中飄過。很快,他就拉著師弟設(shè)計制作了一個用手機顯示VR的“手機架子”,這個方案比Google cardboard更早出現(xiàn)。Google的方案出了之后,國內(nèi)廠商迅速跟進,他的方案失去了更多的商業(yè)價值。但這驗證了他的預(yù)測。
在市場或漏洞還沒出現(xiàn)之前,提前找到問題并提供解決方案。也許,這就是一個合格的安全領(lǐng)域從業(yè)者的自我修養(yǎng)。
在對超聲波干擾IoT的漏洞進行充分研究之后,他們也提出了自己的解決方案。在芯片外面增加抗聲音干擾的材料或者選擇特殊設(shè)計的元件,也可以采取一些主動的防御方案。
“我們的目的不是去破壞,而是告知風險的存在。”王正博說。