范鹏 星舆车联网安全实验室
实验室介绍
星舆实验室取“星辰大海,舆载万物”之意,星指灿若繁星之技术,目标远大,无边无际;舆指车,引申为众、众人之义,大地如车舆,承载万物。星舆实验室致力于汽车信息安全技术的探索,进行新四化(智能化、电动化、网联化、共享化)汽车的安全研究、漏洞挖掘、渗透测试、攻防演练等工作,为车联网安全提供强有力的安全保障。
实验室部分安全研究员在研究车联网安全之余,还利用一些共通的技术研究物联网设备的安全。以下是星舆实验室车联网安全研究员参加Geekpwn2021的一些心得体会。
GeekPwn2021
GeekPwn是全球最大关注智能生活的安全极客(黑客)大赛及全球首个探索人工智能与专业安全的前沿平台,与Pwn2Own、Defcon 并称世界三大黑客赛事。
GeekPwn极客挑战赛连续举办了八年。正值七年之痒之后,此次赛事做出了重大变革。从之前的直播模式改为了综艺真人秀。虽然呈现的模式变了,但内容依然硬核。我们参与整个拍摄过程,跌宕起伏、惊心动魄;有意外,也有惊喜;有很多有意思的小细节、有趣的故事。
我第一次知道极棒是在 2017 年,当时极棒在香港游轮上举办,“游轮、黑客、破解” 这些词都是相当吸引人,在那一刻就暗暗下定了决心——我一定也要参加极棒。这一等就是 4 年,其实去年我也投了一个项目,不过遗憾的是没能入选。感谢腹黑和年华两位巨佬,帮我完成了 4 年前的梦。
今年说来也巧,一群刚打完比赛百无聊赖的黑阔。半夜,在酒店里点外卖吃夜宵,也幸亏主办方定的酒店比较偏,否则我们就去外面吃夜宵了,而不是点外卖,不然可能就会错过。出人意料的是送餐机器人把外卖送到房间的,之前还真没有过这种体验。对于新鲜事物,极客往往保持好奇。一群人蜂拥而上,于是送餐机器人就逃脱不了它被破解的命运了。当初一起研究的人其实还挺多的,但是从晚上 8 点坚持到凌晨 4 点的只有年华、腹黑以及我。直到取得了阶段性成果,我们才回去睡觉。那段时间 GeekPwn 正好也在征集项目,GeekPwn 一直以来负责任处理智能设备的缺陷,受到了一致好评。我们把产品缺陷交给极棒,由极棒联系相关厂家我们放心。于是我们将这个项目提交了上去,幸运的是这次被选中了,于是在这次的《我是极客》有我们的 1/20。
我们(Mr. Robot)的三个选手分别来自极物实验室、天问实验室、星舆实验室,分别隶属于不同的网络安全公司。其他队伍往往来自同一个公司,而我们虽然来自不同的公司,但是有同样狂热的技术追求,很荣幸能与两位队友深夜并肩作战。最是半夜一块蹬单车、通宵搞事情的记忆难忘。
选手带你看极棒
我们队是第二个拍摄的,几乎全程参与了整个拍摄过程。本来计划是我们项目拍摄完之后的第二天就走的。我们队比较能整活,于是导演组点名把我们组给扣下了,充当专业观众。一边当观众,我就一边记录排名情况。由于节目组的排名没有实时更新,我记录的排行榜就成了大家估分的参考,也被戏称为“野榜”。
节目明天(文章大部分写于10月14日)就上架了,看到了之前记录的排名等信息。突发奇想,能不能把这个过程比较有意思的东西和大家分享一下。时间过去了好一段时间,有的记忆开始模糊了,可能有记错的地方。请大家以 GeekPwn 官方发布的信息为准。我们是以选手的视野来看的,不知道其他人的漏洞细节。我们对评委的部分评分有些质疑也是正常的,毕竟我们掌握的资源不一样,我们看到的更多是表象。评委知道更多漏洞细节,他们的打分有他们的道理。从节目效果来看,要有这样的冲突,节目才足够精彩嘛!下面我们来来看看每个挑战项目,节目中的项目出场次序可能有所调整。
- 第一个出场的是“移花接木”项目,目标对象是快传协议,通过伪造会话以中间人身份替换传输的图片。我们在选手等候区观看节目,第一个节目我就直拍手称快,直呼 NB。同时,我也保有极客探求事物本质的好奇心。首先猜想是哪家的快传协议,演示的手机是哪一家的。虽然手机品牌被遮挡了,但是我们还是根据 UI 的特征猜出来了。他们在台上也只是演示,并没有透露太多细节,但我们在下面也分析的八八九九了。这就是一群热爱技术的极客思想碰撞后的花火。这个项目的影响范围和显示效果都不错,但令人差异的评委给出了令人差异的 4.60 分。后面评委才解释道,他们从技术、价值、影响三个方面评分,他定义 8 分的标准是在全球范围内的任意地点控制任意车辆。所以我们整体的分支都不高,整场下来也没有超过7分的。
- 我们第二个出场,第一个基调定的太低,我们在候场的时候相当的紧张。感觉快传协议技术难度和影响范围也还挺大的,只有 4.60 分。我们会不会比他们低呢,我们转念一想,我们项目直接能造成经济损失,带来实质上的危害,这也许评委会多个我们点。结果证明我们是对的,评委给了我们 5.12 分。这个项目我们确实投入的不少。那一晚我们只是取得了阶段性成功,还不能控制任意一台设备。比赛结束后,我们各自回到各自所在的城市,很难再聚在一起完成剩下的部分了。我们曾多次奔波在路上寻找目标,有的位置尴尬,有的酒店没有,只能骑车单车接着寻找下一个合适的。两点距离太近又不好打车,从下午到傍晚,再到日暮,腿有种快断的感觉。终于也不负所托,最终排名进入了前 10 名。播出后微博话题#酒店送餐机器人外卖被调包#关注度还挺高的,阅读量已经超过1700万了。
- 天工实验室演示批量控制共享汽车,让共享汽车同时鸣笛,效果确实震撼。选手们漏洞成因可能是云端鉴权造成的。属于云端漏洞,感觉利用难度不大,评分也不会太高。实际生活中也存在有很多利用难度不大,却能造成巨大危害的漏洞。评委给出了 5.34 分,我们在第一的位置停留的很短,他们也是实至名归。现在智能汽车的安全也很热门,造成的社会也是巨大的。也是着眼这一点,近年来我也聚焦于车联网安全研究。
- 格物实验室作为业内知名的老牌 IOT 安全实验室,这次也给我们带来了惊喜。提出了一种新的攻击手法,利用电力线载波(PLC)入侵家庭网络,演示了一个新的攻击场景。攻破摄像头也只是锦上添花,其中有个小插曲。他们来之前的那天晚上测试发现演示用的摄像头之前能用的漏洞,无法利用了。解决方案竟是立马又挖了一个,真的是太强悍了。最终他们取得 5.02 的成绩,感觉他们没有把新的攻击手法展现出来,重点不是破解摄像头,而是自己动手做的带有远控的插线板,这个新的思路。分数不少的原因还有一点,影响范围相对较小,电力线载波网络使用的还比较少。
- 攻破国产办公软件。通过邮件下载一个文档并打开后,电脑就被控制了。大环境下现在积极推动国产化,国产办公软件也用的越来越多,这关系到企业和个人的数据安全,5.10 分着实低了。GeekPwn 偏向于智能硬件,带设备的这种,软件是有点吃亏。
- 天工实验室的第二个项目是攻破企业打印机并窃取敏感信息,给了 6.02 的全场最高分。评委说,这是GeekPwn 七年来首次出现打印机,终于等到了。他们也是一个场外项目。u1s1 企业打印机危害确实挺大的,里面很多企业机密,还是一线厂商。把云端、打印机端都攻破了,不知RTOS搞定没,要是搞定了必须Respect。
- 科大的伪造视频检测拿到了 5.74,这是第二天的第一个项目,由于时间太早起不来,这个项目我们就没有在现场观看。
- 第二天我们是从第二个项目开始观看的,这个项目是 APK 权限确认绕过。现在大家十分关注个人隐私,近日某某应用频繁读取相册也登上了热搜,这位大佬绕过了系统的控制,无需用户授权就能获取权限。评委给的分是 4.5 ,等候区的选手们一致认为分值太低,这个确实是有利用价值的,可谓是黑灰产最爱。选手还是一个高中生,厉害啦!
- “没有对象没什么不对有对象也没什么队” 打开保险箱并破解加密硬盘,也解锁了导演组一位小姐姐的心,成就了一段美好姻缘。不管是 5.54 分还是对象,我们都实名羡慕。非诚勿扰导演组真的专业,拍摄极客真人秀还能帮极客解决个人问题。
- 东南大学利用 WiFi 三点定位寻找室内隐藏的摄像头,没能在规定时间内找到足够的摄像头,最终挑战失败。室内的摄像头确实是一个问题,近年来针孔摄像头多次出现在酒店,为了不成为电影主角,大家住酒店是需要多留个心眼。
- 玄武实验室利用蓝牙耳机,向蓝牙植入恶意代码 ,使用苹果蓝牙广播网络进行路径跟踪拿到了 5.86 分。这个思路确实不错,在不知不觉中追踪他人。但这个项目缺陷,跟踪有两个前提,第一耳机必须处于使用状态,放在耳机盒中就不能记录路径;另一个是跟踪利用了苹果设备的蓝牙网络,如果周边没有苹果设备,路径将不会被上报和记录。其他选手大多觉得相对其他项目这个项目的分数给的太高。
- 清华大学人脸识别对抗,通过人工智能对抗制作特殊的眼镜伪装嘉宾打开门禁拿到了 5.90。不愧是清华,同样出自清华的一位评委说 GeekPwn上的奖金大部分被清华的选手领走了。人脸识别也是最近的热点,今年 315 晚会曾曝光过滥用 AI 对人脸信息进行行为分析,来制定销售策略。人脸信息正在被滥用,这只是冰山一角。AI 的两面性就暴露出来了,利弊需要平衡。人脸等个人敏感信息亟待立法保护。同时现在 AI 技术也并非完美,也存在不少缺陷。技术和约束要齐头并进,让技术更好的为人民服务,而不是给少数人服务。
- 考勤机出现了问题,评审团认为不再符合参赛规则,选手选择主动退出。
- 百度安全的选手攻破了电视盒子,构造了一个虚假的视频会员购买二维码,却只有 4.18 分(全场最低)。选手只花了几天就完成,被评委诟病技术难度低(选手OS,我们没有听到选手与评委之间的对话)。小姐姐委屈的哭了,真的心疼。只花了几天就准备了这个项目,小姐姐的技术实力可怕。加油,你最 PWN!
- 上海交大与天工实验室联合攻破了 VxWorks,演示了某路由器 DNS 污染 ,据选手区的他们没有上台的队友说是通杀(采用相同方案的也受影响)。评委给的分值是 4.98,我们觉得分数太低了,飞机火箭在用的系统,还是 VxWorks,怎么会这么低。我们也是猜测,评委掌握的信息比我们多,兴许有其他利用条件限制呢!
- 主办方最会整活的就是这个项目,武影实验室和海特实验室的目标都是小区门禁对讲系统。其他都是一个队上舞台,他们一起上台 Battle。要不是他们两个团队的人提前相互认识,不然到现场肯定一脸懵。拍摄的第二天我们几个队约着一起恰饭,谈起其他还没拍的项目。不问不知道一问吓一跳,他们破解对象竟然一模一样,地产商都是同一个,只是一个在武汉一个在杭州。由于展现效果的原因武影拿到了 5.25 分,海特拿到了 5.15 分,可谓是细节决定成败。
- 清华大学挑战利用超声波定向传音、激光控制音箱,都是很有意思的项目,可惜的是都没有成功。超声波定向传音调整的时候设备被烧坏了,激光控制音箱中使用激光瞄准麦克风对准出现了问题,此外录制的原始声音也可能存在问题,导致了项目挑战失败。评委评论的也十分到位,设备太实验室了,完全可以做得更完美,更工程化来提高成功率。期待明年他们能够再次参加并挑战成功。
- 这还是来自百度安全(真的来了好多人,快成专场了)的选手且一直被我们奶,被选手区的捧为第一的种子选手。之前国外有个破解心脏起搏器的项目,震惊了众人,网络安全也能影响人身安全。这两个项目有很多共通之处,这分值肯定低不了。他的目标是胰岛素泵,利用蓝牙控制的胰岛素泵注入过量的胰岛素,可致人死亡。台上展示出现了意外,整个流程不是很顺,只拿到了 5.42 分。他一直说我们是毒奶,竟然被他说中了。
- 最后一个项目是小天才破解小天才手表,更改手表系统,添加换卡记录,拍摄手表窃取者的照片。被大家戏称为防防丢手表丢。10 来岁的金童玉女有这种想法,很了不起了。想想当年这个年龄的我们还在玩泥巴呢!u1s1 有个搞安全的老爸还不错的,从小就接受极客思想。
极棒之夜
极棒之夜上角逐出了最终的名次,会上大家玩的吃的都很开心。在极棒之夜上我们分享了研究服务机器人的一些心得,探讨了常见的安全威胁。
会上机器人厂家找到了我们,进行友好而亲切的交流,详细解答了他们关切的问题,充分交换了双方的意见。
关于选题
每一年极棒都会收到很多人提交的项目,然后从中选取优秀的项目,参与最终的挑战。怎么从中脱颖而出而被选中呢,综合我两次申报的经验,发现四个关键点。
- 新颖: 去年的热门主题就是新基建,最好选择极棒舞台上从未出现过的设备。一是新鲜事物,比如我们选择的服务机器人,就是近几年的新兴事物;第二是极棒舞台上的新鲜事物,好比这次的打印机项目,极棒组委会特别提了一下天工实验室攻破的企业级打印机项目是极棒舞台上第一次出现打印机的项目。第三是新的思路,电力线载波就是一个不错的案例。
- 热点:所选项目需要紧跟热点。今年国家聚焦隐私安全,发布了《数据安全法》、《个人信息保护法》。也许这就是小区门禁对讲系统排名为什么在我们之前的原因。
- 动手能力:保险柜现场拆芯片,尤其是这次做成综艺,呈现的效果比较好,能给观众留下深刻影响,或许这就是把他们安排在节目第一个出场的原因。还有伪装成插线板的电力线载波的项目,评委也是特别的表扬了他们的动手能力;同时也批评了激光入侵音箱的项目,设备太过于实验室,本应做的更好。
- AI: 组委会特别喜欢 AI 相关的项目。AI 对个人的知识储备能力要强较高,且大部分评委和观众看不懂细节,这是无形的加分。若选择身边没的事物,不仅贴近生活,而且呈现效果好,故每年排名都很靠前。如这次的虚假视频鉴别和人脸识别门禁欺骗项目。星舆实验室也做过类似的研究《“刷脸时代”你的脸就是我的脸:人脸识别漏洞分析》。
参考以上四个关键点选取目标,就能更容易脱颖而出——站上 GeekPwn 舞台。