DEFCON精彩破解：Apple Pay被攻破、机器人解锁保险箱、用声音攻击智能设备（含PPT）

刚刚落下帷幕的BlackHat和DEFCON大会显然是这几天安全圈关注的焦点。除了之前我们介绍的精彩议题，各路英雄豪杰还带来了各种各样的硬件破解技巧，今天就大家介绍一些那些在安全“两会”中的精彩破解。

两种方法破解苹果支付

在各种移动支付解决方案中，苹果支付往往被公认为是最安全的方案之一，苹果芯片中分配了专门的区域（Secure Enclave）用来处理支付，银行卡数据也并非存储在设备中，支付过程中的交易数据也进行了加密传输。但尽管如此，来自Positive Technologies研究人员还是在Black Hat大会上公布了两种攻击苹果支付的方法。

“在测试过程中我发现起码两种方法能够让这些安全措施付之一炬。一种方法需要越狱手机，现在市面上手机越狱的概率大概是20%，另外一种方法对未越狱的手机也有效。”攻击者可以把受害者的银行卡绑定到自己的iPhone账号上，还可以篡改设备与苹果服务器之间的SSL流量，从而直接从受害者手机进行伪造的支付。

研究员Yunusov首先展示了第一种攻击方式。攻击者需要用恶意软件感染一台已经越狱的设备。一旦感染，就可以截获支付数据，这针对的是苹果支付的Secure Enclave空间。

第二种攻击则不需要越狱，因为攻击是通过篡改SSL支付流量完成的。攻击者可以存在交易数据，比如修改交易金额或者交易使用的货币种类，或者下单货物的送达情况。

攻击者可以把窃取的银行卡信息绑定到自己的账号上，然后冒用受害者的身份进行支付。

“第二种攻击方式中，第一步是黑客从目标用户的手机中获取支付token。他们需要连入公共WiFi或者提供伪造的WiFi热点，欺骗用户连入。之后黑客就能够窃取到苹果支付过程中用来加密数据的cryptogram。苹果声称这个cryptogram只会被用一次，但实际上在很多商家的配置下，cryptogram可以反复使用。”研究人员解释道。 “由于送达信息是以明文传输的，苹果没有检查其完整性， 黑客就可以使用截获到的cryptogram让受害者多次支付。”

不过这种攻击方式还是有一些限制，比如用户会在支付后收到提醒，这样他们就可以马上冻结账号，防止损失扩大。

辐射检测仪（RDM）的严重漏洞

IOActive信息安全公司的研究人员在BlackHat上破解的设备更加高端：机场所使用的辐射监控设备。

他们发现，来自Ludlum、Mirion和Digi的辐射监控设备（RDM）存在不少漏洞。攻击者利用这些漏洞可以破坏、延迟放射性材料的检测，或者说让检测发生错误。

这对个人人身安全会产生危害，乃至为机场、港口放射性物质的走私提供帮助。漏洞包括某些设备存在最高权限硬编码的密码，如Ludlum 53 Gamma Personal Portal被逆向后就可发现该问题，这样就能绕过系统认证控制设备，让设备不再触发相应警报。

再比如Ludlum Gate Monitor 4525是一款用于检测港口货物卡车放射性物质的设备，其中也存在一系列的配置和安全问题，攻击者可利用这些缺陷发动中间人攻击。报告中提到，Gate Monitor 4525采用诸如Port 20034/UDP和Port 23/TCP一类协议，不部署任何加密措施，攻击者就能拦截数据包，伪造信息或者禁用警报。

而核电厂中所用的Digi固件和Mirion辐射监控设备同样存在问题，研究人员对WRM2设备软件进行逆向就能暴露加密算法，可对固件文件进行解密，攻击者可篡固件，绕过保护措施。攻击者可以向核电厂系统传输篡改数据，构造错误的辐射泄露报告，或者还能发动DoS攻击。

研究人员发现问题的设备型号多种多样，不乏一些大厂：

Ludlum 53 Gamma Personnel Portal Monitor Gate Monitor Model 4525 Mirion WRM2 Transmitters Digi XBee-PRO XSC 900 Xbee S3B (OEM)

值得一提的是，Ludlum当前已经承认问题存在，但拒绝修复漏洞，因为设备都位于安全设施环境中。Mirion也承认问题存在，但表示打补丁会对系统造成干扰破坏，但当前正与Digi合作尝试解决问题。

除了围棋冠军，机器还将取代小偷

在今年的Def Con大会上，来自SparkFun电子的团队开发的机器人在30分钟内打开了SentrySafe生产的保险箱。

SentrySafe是生产保险箱的顶级厂商，实验中的这款保险箱的安全系数也不低，密码为6位数。而这台机器人可以把可能的密码组合从100万减少到1000，然后快速并且自动地尝试密码组合直到成功破解密码。

保险箱有三个转盘，只有三个转盘的位置都正确才能打开保险箱，而每个转盘的示数可以是任意的两位数字，也就是总共100万种可能。

不过机器人不会去尝试每一种选项，它能够在20秒内通过转盘缩进的大小判断出其中一个转盘的密码。转到正确数字是缩进要比不正确的大一点点。在演示的过程中研究人员猜测出了第三个密码是93。

另两位数字就没这么好猜，不过保险箱自带了一种“容错”功能，当用户旋转的密码跟正确密码稍有不同时，保险箱也能打开。比如正确密码是14的话，输入13或者15也是可以的，这就意味着机器人可以每隔3个数字进行猜解，也就比正常人类的猜解速度快了两倍，数字组合也会相应减少。

这款机器人使用3D打印制作的，稍加修改就可以适应不同品牌的保险箱。

有趣的是，破解保险箱也是缘于机缘巧合，团队成员的妻子在eBay上买了一个很便宜的保险箱，之所以便宜是因为保险箱被锁上了，而之前的买家忘了密码是什么。

用声音攻击智能设备

上面破解保险箱的方法可谓十分优雅，而来自阿里巴巴的研究人员则“暴力”得多，他们带来的是一款声波枪。

我们身边的众多智能设备需要依赖来自陀螺仪、加速度计等微机电系统传感器输入信号才能正常工作。而陀螺仪传感器通过检测震动来跟踪旋转幅度和加速度。但那时如果从外部造成震动，并且让它与陀螺仪的谐振频率匹配，就会干扰传感器的稳定性，导致传感器无法正常工作。

通过这样的原理，声波枪可以让无人机从天上掉下来，让机器人倒下，亦或是干扰虚拟现实软件。

来自阿里巴巴移动安全研究团队的Wang Zhengbo和Wang Kang在BlackHat大会上对声波枪进行了演示。把声波枪对准米兔机器人后，机器人立刻失去平衡，随即倒下；对准小米平衡车后，平衡车也不再“平衡”，这对于骑行者是非常危险的事。

不过好在研究人员表示，由于平衡车外面有一个比较坚硬的外壳削弱了声波的强度，因此要让攻击生效，发射枪要放置在外壳里面。不过如果声波枪的功率足够大理论上还是能够穿透外壳的。

尽管安全“两会”已经结束，但正如我们在报道文章《安全“两会”Black Hat与DEF CON大会这20年来的变迁：不只是规模在扩大》中提到的，BlackHat和DefCon大会给现实世界带来的是实实在在的影响，这些精彩纷呈的演讲给大家带来的不仅仅是一次次的破解，更是安全意识的普及。

最后送上福利，DEF CON 全部 PPT下载：https://media.defcon.org/DEF CON 25/DEF CON 25 presentations/