神秘超声波让智能设备瘫痪,中国发现者如何替世界补上bug?
他们是互联网界的安全卫士,用经验和预判发现可能存在的问题,寻找规律,最终在黑客发现之前,解决漏洞。
美国当地时间7月27日(北京时间28日凌晨),美国拉斯维加斯黑帽大会(Black Hat USA)。
在这个全球互联网顶级安全会议的讲台上,罕见地出现了中国互联网人士的身影。来自阿里巴巴的两名安全技术研究者受邀前往针对研究成果发表长达50分钟的公开演讲。
这两位分别是阿里巴巴安全部资深安全工程师王正博和安全专家王康。他们受邀是因为一段27kHz(千赫兹)的超声波。
一辆疾驰而过的平衡车突然倒地,悬空的无人机旋翼转速的声音发生了改变,VR眼镜里的画面开始颤抖。几乎毫无征兆,高科技魔法突然失效了。
魔法来自一段神秘的超声波,它让智能设备由生活伙伴变回塑料与金属。这是万物互联时代一个可能的黑客攻击场景。王康与王正博提前模拟并预警了危机的存在。他们试图提升物联网时代各大厂商的安全阈值。
神秘的声波
一个圆形小喇叭凑近了苹果手机,喇叭的另一端连接到了一台普通的实验室信号源上,在那里可以调节声波的频率和功率。按下开关键之后,屏幕上水准仪的两个小球剧烈晃动起来。
这看起来像是发生在高中物理实验室中的实验,却是一次物联网时代黑客攻击行为的完美模拟。“通过声波能干扰设备的重力和平衡系统的话,理论上也能通过它写入信息。”王康解释它的意义。
王康解释了这场实验的细节。信号源是普通物理实验室的标配,成本不高,发射出来的是人耳听不见的超声波。手机屏幕上的水准仪出现的变化意味着通过声波能成功干扰手机上的陀螺仪芯片。
背后的工业背景也不可不提。随着工艺的发达和制造成本降低,微机电系统(MEMS, Micro-Electro-Mechanical System)被广泛应用到了许多电子消费品中。这些芯片的提供商不多,一般集中于几家,最终的成品却覆盖了从手机、无人机到平衡车、VR眼镜等多种消费品。硬件问题不同于软件,一旦芯片本身存在物理可影响的漏洞,埋下的隐患不可小觑。
两位安全工程师希望用最基础的设备给厂商提个醒,物联网时代安全隐患不仅来自算法和软件层面,通过物理手段能生效的硬件漏洞也值得重视。
实验萌芽是从2015年的GeekPwn会议上开始的。看到KAIST的研究,王正博和王康萌生了用声音去攻击测试微机电系统的念头。
真正开始实验是在2016年下半年。由于安全实验室多为系统安全研究,他们不具备硬件实验的设备,也没有专门的场地来进行这场实验。王康向清华大学物理实验室借来了设备后,他们在自己工位上开始了这项测试。
声音的频率设置是个难题。去年下半年有一段时间里,望京阿里巴巴中心A座某一层的部分员工偶尔能听到公司里传来某种设备发出的尖锐的设备鸣叫。那是王康和王正博在做实验测试具体的频率。
为了不打扰同事,他们还躲进过一个小消防间。最终,他们发现频率被调整为某个人耳听不见的超声波频率时,攻击起效了。
取得突破性的进展后。他们又反复测试,终于找准了27千赫兹后面小数点的具体数值。最终,他们先后在安卓和苹果手机、VR眼镜、无人机、平衡车等多种设备里成功测试了超声波的干扰效果。
实验的价值也被世界知名的安全界大会Black Hat所认可。王正博和王康今年3月份的投稿通过了会议的审核。当地时间7月27日,他们要在美国的Las Vegas向来自全世界安全界同行讲述自己的实验成果——“超声波如何干扰物联网设备(IoT)。
Black Hat大会一年有三次,分别在欧洲、美国和亚洲三地举行。这是安全界的盛会,由知名安全专家共同评审参会的论文。王康此前参加过欧洲的Black Hat,从他与同行的交流经验来看,美国的大会难度更高,分量也更重。
“由于过于前沿,这个漏洞目前还没有看到被利用的方式,但通过了Black Hat的评审,说明业界认可这个问题的价值。”王正博说。
一场耐心拉力赛
王康一周要阅读一万条信息。
“你要看到对方主动释放信息之外的信息。”说这话时王康仰着头,略皱眉头,尝试找出一个案例。
每一束曙光的出现都不是理所当然的。
“我们更像是情报工作者,而不是信息阅读者。”王康提到了自己对工作内容的理解。王正博和王康都是清华大学物理相关专业出身,在阿里巴巴安全部工作,顶着工程师的名号,他们日常的主要工作却不只是写写代码,而是要做安全领域的前沿研究。
一般说来,大公司的人事变化和战略调整总是最容易吸引普通公众眼球的,但安全人员不关注这些最热点的事件。某家公司的某款产品使用了哪项技术他们更愿意研究。但这些信息并不会广泛传播,它分散在互联网信息世界的各个角落里。
要避开充满了无效信息的洋流,挑出具有安全价值的那些,从里面发现可能的方向与漏洞。为了更高效获取信息,王康的手机里有一个RSS阅读器。每天各大资讯网站和学界、业界的信息都通过这个工具自动汇总。
交流时有人说到了某部电影里提到了无人驾驶可能的漏洞,王康两眼放光。他快速拉过朋友的电脑,霹雳巴拉一阵检索,然后在手机上记录下相关的结果。一切结束之后,他才继续加入对话。
他们的办公桌总是乱糟糟的,摆满了各种奇奇怪怪的物件,跟普通工程师工作区的样子大相径庭。无人机、平衡车和各种不知道从哪里拆下的零件。
一个白色的方形大匣子,那是信号发生器,还有超声波探头、电烙铁、热胶枪、绝缘胶带。
由于研究内容较为超前,王正博和王康研究的内容可能在未来三到五年里才真正会被利用。这带来了一个问题,一家互联网公司里为何要花精力去做这些研究,它的空间又能有多大呢。
两位工程师的理解是,前沿研究是一家公司对未来的投入,它非常必要,公司所给的空间也非常珍贵。王正博觉得,有机会在阿里巴巴做研究是幸福的事情,目前从事的可能是能够将自己的兴趣和工作结合到一起最好的工作。
但他也有苦恼,研究的突破不太具备确定性,方向上可能需要不断调整,大量的研究可能停留在概念阶段就流产。以超声波对IoT的影响为例,他们前后捣鼓了大半年,才真正有了突破并被国际认可。
一切需要耐心和时间去验证,而这对一家商业公司而言难能可贵。王正博说,“我们也在做一些研究,尝试在现有的业务方向上去做探索,从而应用到业务中去。”
一名白帽子的自我修养
除了表达能力强之外,王康符合公众对极客的固有想象。
他一副典型的程序员打扮,穿黑色T恤。不太注意个人外表,却非常留意新奇的科技产品,有自己的个人站点,喜欢鼓捣各种高科技产品,对智能语音助手的各种玩法了然于心。
在交流中说到了智能音箱,王康的两眼再次放光。他马上调出自己的苹果手机,用英文对着SIRI下指示,要求智能助手打开家里的灯。
那是他自己鼓捣出来的,原装版本一千多元,他花了几十元买了一款灯,做了改装,最终能流畅实现原装版的功能。“这里能调灯光的颜色”,他向其他人展示时有些眉飞色舞的意思。
他做了好些这样的事。因为喜欢民乐,王康和朋友花了整整一下午拍了几十张照片,他一个人扮演了乐队里的所有角色。最后抠图,整个乐队都是他本人。那张照片被放在了他的个人主页的爱好那一栏,不仔细看真看不出来有讲究。“你不觉得二胡其实就是一个从294Hz到4kHz连续可调的声波信号源吗?”不一会儿,他的话语很快又从乐器转向了物理原理。
王康习惯从事物中发现规律,然后去钻研它的运行法则与漏洞。他用那一套方法向Linux内核提交过代码,贡献了自己的解决方案。
从个性来看,王正博跟他的同事王康几乎截然相反。他似乎没有那么精确的信息收集方式,也不会有非常固定的程式化操作。他说起自己的日常习惯时,你看不出他跟黑客、安全这样的词汇有太多关联。
但对信息的敏感度而言,他们如出一辙。VR是王正博关注的一大方向,他还在Google cardboard之前自己设计了一款VR手机架子。
那是Facebook重金收购Oculus之后的事。看到那则新闻,王正博意识到,基于手机的场景更容易让大众快速接触这个技术。自己动手做VR眼镜的念头在他脑中飘过。很快,他就拉着师弟设计制作了一个用手机显示VR的“手机架子”,这个方案比Google cardboard更早出现。Google的方案出了之后,国内厂商迅速跟进,他的方案失去了更多的商业价值。但这验证了他的预测。
在市场或漏洞还没出现之前,提前找到问题并提供解决方案。也许,这就是一个合格的安全领域从业者的自我修养。
在对超声波干扰IoT的漏洞进行充分研究之后,他们也提出了自己的解决方案。在芯片外面增加抗声音干扰的材料或者选择特殊设计的元件,也可以采取一些主动的防御方案。
“我们的目的不是去破坏,而是告知风险的存在。”王正博说。