刚刚落下帷幕的BlackHat和DEFCON大会显然是这几天安全圈关注的焦点。除了之前我们介绍的精彩议题,各路英雄豪杰还带来了各种各样的硬件破解技巧,今天就大家介绍一些那些在安全“两会”中的精彩破解。
两种方法破解苹果支付
在各种移动支付解决方案中,苹果支付往往被公认为是最安全的方案之一,苹果芯片中分配了专门的区域(Secure Enclave)用来处理支付,银行卡数据也并非存储在设备中,支付过程中的交易数据也进行了加密传输。但尽管如此,来自Positive Technologies研究人员还是在Black Hat大会上公布了两种攻击苹果支付的方法。
“在测试过程中我发现起码两种方法能够让这些安全措施付之一炬。一种方法需要越狱手机,现在市面上手机越狱的概率大概是20%,另外一种方法对未越狱的手机也有效。”攻击者可以把受害者的银行卡绑定到自己的iPhone账号上,还可以篡改设备与苹果服务器之间的SSL流量,从而直接从受害者手机进行伪造的支付。
研究员Yunusov首先展示了第一种攻击方式。攻击者需要用恶意软件感染一台已经越狱的设备。一旦感染,就可以截获支付数据,这针对的是苹果支付的Secure Enclave空间。
第二种攻击则不需要越狱,因为攻击是通过篡改SSL支付流量完成的。攻击者可以存在交易数据,比如修改交易金额或者交易使用的货币种类,或者下单货物的送达情况。
攻击者可以把窃取的银行卡信息绑定到自己的账号上,然后冒用受害者的身份进行支付。
“第二种攻击方式中,第一步是黑客从目标用户的手机中获取支付token。他们需要连入公共WiFi或者提供伪造的WiFi热点,欺骗用户连入。之后黑客就能够窃取到苹果支付过程中用来加密数据的cryptogram。苹果声称这个cryptogram只会被用一次,但实际上在很多商家的配置下,cryptogram可以反复使用。”研究人员解释道。
“由于送达信息是以明文传输的,苹果没有检查其完整性, 黑客就可以使用截获到的cryptogram让受害者多次支付。”
不过这种攻击方式还是有一些限制,比如用户会在支付后收到提醒,这样他们就可以马上冻结账号,防止损失扩大。
辐射检测仪(RDM)的严重漏洞
IOActive信息安全公司的研究人员在BlackHat上破解的设备更加高端:机场所使用的辐射监控设备。
他们发现,来自Ludlum、Mirion和Digi的辐射监控设备(RDM)存在不少漏洞。攻击者利用这些漏洞可以破坏、延迟放射性材料的检测,或者说让检测发生错误。
这对个人人身安全会产生危害,乃至为机场、港口放射性物质的走私提供帮助。漏洞包括某些设备存在最高权限硬编码的密码,如Ludlum 53 Gamma Personal Portal被逆向后就可发现该问题,这样就能绕过系统认证控制设备,让设备不再触发相应警报。
再比如Ludlum Gate Monitor 4525是一款用于检测港口货物卡车放射性物质的设备,其中也存在一系列的配置和安全问题,攻击者可利用这些缺陷发动中间人攻击。报告中提到,Gate Monitor 4525采用诸如Port 20034/UDP和Port 23/TCP一类协议,不部署任何加密措施,攻击者就能拦截数据包,伪造信息或者禁用警报。
而核电厂中所用的Digi固件和Mirion辐射监控设备同样存在问题,研究人员对WRM2设备软件进行逆向就能暴露加密算法,可对固件文件进行解密,攻击者可篡固件,绕过保护措施。攻击者可以向核电厂系统传输篡改数据,构造错误的辐射泄露报告,或者还能发动DoS攻击。
研究人员发现问题的设备型号多种多样,不乏一些大厂:
- Ludlum
- 53 Gamma Personnel Portal Monitor
- Gate Monitor Model 4525
- Mirion
- WRM2 Transmitters
- Digi
- XBee-PRO XSC 900
- Xbee S3B (OEM)
值得一提的是,Ludlum当前已经承认问题存在,但拒绝修复漏洞,因为设备都位于安全设施环境中。Mirion也承认问题存在,但表示打补丁会对系统造成干扰破坏,但当前正与Digi合作尝试解决问题。
除了围棋冠军,机器还将取代小偷
在今年的Def Con大会上,来自SparkFun电子的团队开发的机器人在30分钟内打开了SentrySafe生产的保险箱。
SentrySafe是生产保险箱的顶级厂商,实验中的这款保险箱的安全系数也不低,密码为6位数。而这台机器人可以把可能的密码组合从100万减少到1000,然后快速并且自动地尝试密码组合直到成功破解密码。
保险箱有三个转盘,只有三个转盘的位置都正确才能打开保险箱,而每个转盘的示数可以是任意的两位数字,也就是总共100万种可能。
不过机器人不会去尝试每一种选项,它能够在20秒内通过转盘缩进的大小判断出其中一个转盘的密码。转到正确数字是缩进要比不正确的大一点点。在演示的过程中研究人员猜测出了第三个密码是93。
另两位数字就没这么好猜,不过保险箱自带了一种“容错”功能,当用户旋转的密码跟正确密码稍有不同时,保险箱也能打开。比如正确密码是14的话,输入13或者15也是可以的,这就意味着机器人可以每隔3个数字进行猜解,也就比正常人类的猜解速度快了两倍,数字组合也会相应减少。
这款机器人使用3D打印制作的,稍加修改就可以适应不同品牌的保险箱。
有趣的是,破解保险箱也是缘于机缘巧合,团队成员的妻子在eBay上买了一个很便宜的保险箱,之所以便宜是因为保险箱被锁上了,而之前的买家忘了密码是什么。
用声音攻击智能设备
上面破解保险箱的方法可谓十分优雅,而来自阿里巴巴的研究人员则“暴力”得多,他们带来的是一款声波枪。
我们身边的众多智能设备需要依赖来自陀螺仪、加速度计等微机电系统传感器输入信号才能正常工作。而陀螺仪传感器通过检测震动来跟踪旋转幅度和加速度。但那时如果从外部造成震动,并且让它与陀螺仪的谐振频率匹配,就会干扰传感器的稳定性,导致传感器无法正常工作。
通过这样的原理,声波枪可以让无人机从天上掉下来,让机器人倒下,亦或是干扰虚拟现实软件。
来自阿里巴巴移动安全研究团队的Wang Zhengbo和Wang Kang在BlackHat大会上对声波枪进行了演示。把声波枪对准米兔机器人后,机器人立刻失去平衡,随即倒下;对准小米平衡车后,平衡车也不再“平衡”,这对于骑行者是非常危险的事。
不过好在研究人员表示,由于平衡车外面有一个比较坚硬的外壳削弱了声波的强度,因此要让攻击生效,发射枪要放置在外壳里面。不过如果声波枪的功率足够大理论上还是能够穿透外壳的。
尽管安全“两会”已经结束,但正如我们在报道文章《安全“两会”Black Hat与DEF CON大会这20年来的变迁:不只是规模在扩大》中提到的,BlackHat和DefCon大会给现实世界带来的是实实在在的影响,这些精彩纷呈的演讲给大家带来的不仅仅是一次次的破解,更是安全意识的普及。
最后送上福利:DEF CON 全部 PPT:https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/
