中国领先的IT技术网站
|
|

DEFCON精彩破解:Apple Pay被攻破、机器人解锁保险箱、用声音攻击智能设备

刚刚落下帷幕的BlackHat和DEFCON大会显然是这几天安全圈关注的焦点。除了之前我们介绍的精彩议题,各路英雄豪杰还带来了各种各样的硬件破解技巧,今天就大家介绍一些那些在安全“两会”中的精彩破解。

作者:Sphinx来源:FreeBuf|2017-08-03 12:54

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


刚刚落下帷幕的BlackHat和DEFCON大会显然是这几天安全圈关注的焦点。除了之前我们介绍的精彩议题,各路英雄豪杰还带来了各种各样的硬件破解技巧,今天就大家介绍一些那些在安全“两会”中的精彩破解。

两种方法破解苹果支付

在各种移动支付解决方案中,苹果支付往往被公认为是最安全的方案之一,苹果芯片中分配了专门的区域(Secure Enclave)用来处理支付,银行卡数据也并非存储在设备中,支付过程中的交易数据也进行了加密传输。但尽管如此,来自Positive Technologies研究人员还是在Black Hat大会上公布了两种攻击苹果支付的方法。

“在测试过程中我发现起码两种方法能够让这些安全措施付之一炬。一种方法需要越狱手机,现在市面上手机越狱的概率大概是20%,另外一种方法对未越狱的手机也有效。”攻击者可以把受害者的银行卡绑定到自己的iPhone账号上,还可以篡改设备与苹果服务器之间的SSL流量,从而直接从受害者手机进行伪造的支付。

研究员Yunusov首先展示了第一种攻击方式。攻击者需要用恶意软件感染一台已经越狱的设备。一旦感染,就可以截获支付数据,这针对的是苹果支付的Secure Enclave空间。

第二种攻击则不需要越狱,因为攻击是通过篡改SSL支付流量完成的。攻击者可以存在交易数据,比如修改交易金额或者交易使用的货币种类,或者下单货物的送达情况。

攻击者可以把窃取的银行卡信息绑定到自己的账号上,然后冒用受害者的身份进行支付。

“第二种攻击方式中,第一步是黑客从目标用户的手机中获取支付token。他们需要连入公共WiFi或者提供伪造的WiFi热点,欺骗用户连入。之后黑客就能够窃取到苹果支付过程中用来加密数据的cryptogram。苹果声称这个cryptogram只会被用一次,但实际上在很多商家的配置下,cryptogram可以反复使用。”研究人员解释道。

“由于送达信息是以明文传输的,苹果没有检查其完整性, 黑客就可以使用截获到的cryptogram让受害者多次支付。”

不过这种攻击方式还是有一些限制,比如用户会在支付后收到提醒,这样他们就可以马上冻结账号,防止损失扩大。

辐射检测仪(RDM)的严重漏洞

IOActive信息安全公司的研究人员在BlackHat上破解的设备更加高端:机场所使用的辐射监控设备。

他们发现,来自Ludlum、Mirion和Digi的辐射监控设备(RDM)存在不少漏洞。攻击者利用这些漏洞可以破坏、延迟放射性材料的检测,或者说让检测发生错误。

这对个人人身安全会产生危害,乃至为机场、港口放射性物质的走私提供帮助。漏洞包括某些设备存在最高权限硬编码的密码,如Ludlum 53 Gamma Personal Portal被逆向后就可发现该问题,这样就能绕过系统认证控制设备,让设备不再触发相应警报。

再比如Ludlum Gate Monitor 4525是一款用于检测港口货物卡车放射性物质的设备,其中也存在一系列的配置和安全问题,攻击者可利用这些缺陷发动中间人攻击。报告中提到,Gate Monitor 4525采用诸如Port 20034/UDP和Port 23/TCP一类协议,不部署任何加密措施,攻击者就能拦截数据包,伪造信息或者禁用警报。

而核电厂中所用的Digi固件和Mirion辐射监控设备同样存在问题,研究人员对WRM2设备软件进行逆向就能暴露加密算法,可对固件文件进行解密,攻击者可篡固件,绕过保护措施。攻击者可以向核电厂系统传输篡改数据,构造错误的辐射泄露报告,或者还能发动DoS攻击。

研究人员发现问题的设备型号多种多样,不乏一些大厂:

  • Ludlum
  • 53 Gamma Personnel Portal Monitor
  • Gate Monitor Model 4525
  • Mirion
  • WRM2 Transmitters
  • Digi
  • XBee-PRO XSC 900
  • Xbee S3B (OEM)

值得一提的是,Ludlum当前已经承认问题存在,但拒绝修复漏洞,因为设备都位于安全设施环境中。Mirion也承认问题存在,但表示打补丁会对系统造成干扰破坏,但当前正与Digi合作尝试解决问题。

除了围棋冠军,机器还将取代小偷

在今年的Def Con大会上,来自SparkFun电子的团队开发的机器人在30分钟内打开了SentrySafe生产的保险箱。

SentrySafe是生产保险箱的顶级厂商,实验中的这款保险箱的安全系数也不低,密码为6位数。而这台机器人可以把可能的密码组合从100万减少到1000,然后快速并且自动地尝试密码组合直到成功破解密码。

保险箱有三个转盘,只有三个转盘的位置都正确才能打开保险箱,而每个转盘的示数可以是任意的两位数字,也就是总共100万种可能。

不过机器人不会去尝试每一种选项,它能够在20秒内通过转盘缩进的大小判断出其中一个转盘的密码。转到正确数字是缩进要比不正确的大一点点。在演示的过程中研究人员猜测出了第三个密码是93。

另两位数字就没这么好猜,不过保险箱自带了一种“容错”功能,当用户旋转的密码跟正确密码稍有不同时,保险箱也能打开。比如正确密码是14的话,输入13或者15也是可以的,这就意味着机器人可以每隔3个数字进行猜解,也就比正常人类的猜解速度快了两倍,数字组合也会相应减少。

这款机器人使用3D打印制作的,稍加修改就可以适应不同品牌的保险箱。

有趣的是,破解保险箱也是缘于机缘巧合,团队成员的妻子在eBay上买了一个很便宜的保险箱,之所以便宜是因为保险箱被锁上了,而之前的买家忘了密码是什么。

用声音攻击智能设备

上面破解保险箱的方法可谓十分优雅,而来自阿里巴巴的研究人员则“暴力”得多,他们带来的是一款声波枪。

我们身边的众多智能设备需要依赖来自陀螺仪、加速度计等微机电系统传感器输入信号才能正常工作。而陀螺仪传感器通过检测震动来跟踪旋转幅度和加速度。但那时如果从外部造成震动,并且让它与陀螺仪的谐振频率匹配,就会干扰传感器的稳定性,导致传感器无法正常工作。

通过这样的原理,声波枪可以让无人机从天上掉下来,让机器人倒下,亦或是干扰虚拟现实软件。

来自阿里巴巴移动安全研究团队的Wang Zhengbo和Wang Kang在BlackHat大会上对声波枪进行了演示。把声波枪对准米兔机器人后,机器人立刻失去平衡,随即倒下;对准小米平衡车后,平衡车也不再“平衡”,这对于骑行者是非常危险的事。

不过好在研究人员表示,由于平衡车外面有一个比较坚硬的外壳削弱了声波的强度,因此要让攻击生效,发射枪要放置在外壳里面。不过如果声波枪的功率足够大理论上还是能够穿透外壳的。

尽管安全“两会”已经结束,但正如我们在报道文章《安全“两会”Black Hat与DEF CON大会这20年来的变迁:不只是规模在扩大》中提到的,BlackHat和DefCon大会给现实世界带来的是实实在在的影响,这些精彩纷呈的演讲给大家带来的不仅仅是一次次的破解,更是安全意识的普及。

最后送上福利:DEF CON 全部 PPT:https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/

【编辑推荐】

  1. 可与Mirai比肩的恶意程序Hajime,竟是为了保护IoT设备?
  2. 终端设备和网络事件“自动化响应”到底有多么棘手?
  3. 中国电能成套设备有限公司利用Citrix桌面虚拟化技术强化信息安全
  4. 高危预警!移动设备面临的五大安全威胁
  5. 自制机器人15分钟破解保险箱密码
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C#和.NET核心技术

本书重点讲解如何用实用的代码来解决具体的实际问题。本书的内容覆盖面很广,从新的C#范型到Web服务,从反射到安全等都有涉及。系统地介绍...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Python最火的编程语言