DEFCON精彩破解：Apple Pay被攻破、機器人解鎖保險箱、用聲音攻擊智能設備（含PPT）

剛剛落下帷幕的BlackHat和DEFCON大會顯然是這幾天安全圈關注的焦點。除了之前我們介紹的精彩議題，各路英雄豪傑還帶來了各種各樣的硬體破解技巧，今天就大家介紹一些那些在安全「兩會」中的精彩破解。

兩種方法破解蘋果支付

在各種移動支付解決方案中，蘋果支付往往被公認為是最安全的方案之一，蘋果晶元中分配了專門的區域（Secure Enclave）用來處理支付，銀行卡數據也並非存儲在設備中，支付過程中的交易數據也進行了加密傳輸。但儘管如此，來自Positive Technologies研究人員還是在Black Hat大會上公布了兩種攻擊蘋果支付的方法。

「在測試過程中我發現起碼兩種方法能夠讓這些安全措施付之一炬。一種方法需要越獄手機，現在市面上手機越獄的概率大概是20%，另外一種方法對未越獄的手機也有效。」攻擊者可以把受害者的銀行卡綁定到自己的iPhone賬號上，還可以篡改設備與蘋果伺服器之間的SSL流量，從而直接從受害者手機進行偽造的支付。

研究員Yunusov首先展示了第一種攻擊方式。攻擊者需要用惡意軟體感染一台已經越獄的設備。一旦感染，就可以截獲支付數據，這針對的是蘋果支付的Secure Enclave空間。

第二種攻擊則不需要越獄，因為攻擊是通過篡改SSL支付流量完成的。攻擊者可以存在交易數據，比如修改交易金額或者交易使用的貨幣種類，或者下單貨物的送達情況。

攻擊者可以把竊取的銀行卡信息綁定到自己的賬號上，然後冒用受害者的身份進行支付。

「第二種攻擊方式中，第一步是黑客從目標用戶的手機中獲取支付token。他們需要連入公共WiFi或者提供偽造的WiFi熱點，欺騙用戶連入。之後黑客就能夠竊取到蘋果支付過程中用來加密數據的cryptogram。蘋果聲稱這個cryptogram只會被用一次，但實際上在很多商家的配置下，cryptogram可以反覆使用。」研究人員解釋道。

「由於送達信息是以明文傳輸的，蘋果沒有檢查其完整性， 黑客就可以使用截獲到的cryptogram讓受害者多次支付。」

不過這種攻擊方式還是有一些限制，比如用戶會在支付後收到提醒，這樣他們就可以馬上凍結賬號，防止損失擴大。

輻射檢測儀（RDM）的嚴重漏洞

IOActive信息安全公司的研究人員在BlackHat上破解的設備更加高端：機場所使用的輻射監控設備。

他們發現，來自Ludlum、Mirion和Digi的輻射監控設備（RDM）存在不少漏洞。攻擊者利用這些漏洞可以破壞、延遲放射性材料的檢測，或者說讓檢測發生錯誤。

這對個人人身安全會產生危害，乃至為機場、港口放射性物質的走私提供幫助。漏洞包括某些設備存在最高許可權硬編碼的密碼，如Ludlum 53 Gamma Personal Portal被逆向後就可發現該問題，這樣就能繞過系統認證控制設備，讓設備不再觸發相應警報。

再比如Ludlum Gate Monitor 4525是一款用於檢測港口貨物卡車放射性物質的設備，其中也存在一系列的配置和安全問題，攻擊者可利用這些缺陷發動中間人攻擊。報告中提到，Gate Monitor 4525採用諸如Port 20034/UDP和Port 23/TCP一類協議，不部署任何加密措施，攻擊者就能攔截數據包，偽造信息或者禁用警報。

而核電廠中所用的Digi固件和Mirion輻射監控設備同樣存在問題，研究人員對WRM2設備軟體進行逆向就能暴露加密演算法，可對固件文件進行解密，攻擊者可篡固件，繞過保護措施。攻擊者可以向核電廠系統傳輸篡改數據，構造錯誤的輻射泄露報告，或者還能發動DoS攻擊。

研究人員發現問題的設備型號多種多樣，不乏一些大廠：

Ludlum

53 Gamma Personnel Portal Monitor

Gate Monitor Model 4525

Mirion

WRM2 Transmitters

Digi

XBee-PRO XSC 900

Xbee S3B (OEM)

值得一提的是，Ludlum當前已經承認問題存在，但拒絕修復漏洞，因為設備都位於安全設施環境中。Mirion也承認問題存在，但表示打補丁會對系統造成干擾破壞，但當前正與Digi合作嘗試解決問題。

除了圍棋冠軍，機器還將取代小偷

在今年的Def Con大會上，來自SparkFun電子的團隊開發的機器人在30分鐘內打開了SentrySafe生產的保險箱。

SentrySafe是生產保險箱的頂級廠商，實驗中的這款保險箱的安全係數也不低，密碼為6位數。而這台機器人可以把可能的密碼組合從100萬減少到1000，然後快速並且自動地嘗試密碼組合直到成功破解密碼。

保險箱有三個轉盤，只有三個轉盤的位置都正確才能打開保險箱，而每個轉盤的示數可以是任意的兩位數字，也就是總共100萬種可能。

不過機器人不會去嘗試每一種選項，它能夠在20秒內通過轉盤縮進的大小判斷出其中一個轉盤的密碼。轉到正確數字是縮進要比不正確的大一點點。在演示的過程中研究人員猜測出了第三個密碼是93。

另兩位數字就沒這麼好猜，不過保險箱自帶了一種「容錯」功能，當用戶旋轉的密碼跟正確密碼稍有不同時，保險箱也能打開。比如正確密碼是14的話，輸入13或者15也是可以的，這就意味著機器人可以每隔3個數字進行猜解，也就比正常人類的猜解速度快了兩倍，數字組合也會相應減少。

這款機器人使用3D列印製作的，稍加修改就可以適應不同品牌的保險箱。

有趣的是，破解保險箱也是緣於機緣巧合，團隊成員的妻子在eBay上買了一個很便宜的保險箱，之所以便宜是因為保險箱被鎖上了，而之前的買家忘了密碼是什麼。

用聲音攻擊智能設備

上面破解保險箱的方法可謂十分優雅，而來自阿里巴巴的研究人員則「暴力」得多，他們帶來的是一款聲波槍。

我們身邊的眾多智能設備需要依賴來自陀螺儀、加速度計等微機電系統感測器輸入信號才能正常工作。而陀螺儀感測器通過檢測震動來跟蹤旋轉幅度和加速度。但那時如果從外部造成震動，並且讓它與陀螺儀的諧振頻率匹配，就會干擾感測器的穩定性，導致感測器無法正常工作。

通過這樣的原理，聲波槍可以讓無人機從天上掉下來，讓機器人倒下，亦或是干擾虛擬現實軟體。

來自阿里巴巴移動安全研究團隊的Wang Zhengbo和Wang Kang在BlackHat大會上對聲波槍進行了演示。把聲波槍對準米兔機器人後，機器人立刻失去平衡，隨即倒下；對準小米平衡車後，平衡車也不再「平衡」，這對於騎行者是非常危險的事。

不過好在研究人員表示，由於平衡車外面有一個比較堅硬的外殼削弱了聲波的強度，因此要讓攻擊生效，發射槍要放置在外殼裡面。不過如果聲波槍的功率足夠大理論上還是能夠穿透外殼的。

儘管安全「兩會」已經結束，但正如我們在報道文章《安全「兩會」Black Hat與DEF CON大會這20年來的變遷：不只是規模在擴大》中提到的，BlackHat和DefCon大會給現實世界帶來的是實實在在的影響，這些精彩紛呈的演講給大家帶來的不僅僅是一次次的破解，更是安全意識的普及。

最後送上福利，

DEF CON 全部 PPT下載：https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/

*參考來源：SecurityAffairs, 

Arstechnica, BBC，本文作者：Sphinx，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！