新的攻擊手法誕生：晶元形同虛設，揮揮手即可攻陷

------ 【導讀】 ------

如果提到黑客使用的標準工具包，人們通常會想到軟體漏洞和惡意軟體。但是兩位研究人員在測試一種不同類型的攻擊手法：你只要揮揮手，一種物理工具就可以攻陷設備。

在最近的REcon計算機安全會議上，Red Balloon Security公司的創始人安格·崔（Ang Cui）和研究科學家里克·豪斯利（Rick Housley）提出了一種攻破處理器安全的新方法：利用電磁脈衝，引起硬體出現特定的故障。該攻擊手法以精確的時間間隔擾亂正常活動，從而攻克Secure Boot（安全啟動）保護機制，這種機制保護處理器避免運行不可信的代碼。

這兩位研究人員嘗試了沿用幾十年之久的「故障注入攻擊」――這種攻擊手法引起一種致命故障，進而觸發異常的、可被人利用的計算機行為。不過，這種攻擊通常需要實際接觸目標設備的部件。

崔說：「這種手法的優點在於，它不具有物理干擾性。也就是說，你不必碰觸設備，也不會給部件留下任何錶面上的痕迹。電磁脈衝階段沒有數據交換，所以防火牆根本發現不了這種攻擊。」

不安全的啟動

Red Balloon公司專門提供物聯網入侵防禦工具，這好比是面向物聯網的防病毒軟體。但是該公司使用其安全工具，為Secure Boot（安全啟動）保護的物聯網設備保駕護航時卻遇到了問題。Red Balloon的產品突破不了這層屏障。於是，該公司與設備供應商合作，確保其軟體兼容。而這個困境讓崔和豪斯利對於這個理論問題：故障注入攻擊能不能繞過嚴加保護的物聯網設備上的安全啟動機制產生了興趣。

於是他們開始在思科8861 VoIP電話上進行試驗，試圖用自己的安全產品保護該電話，但未能如願同償。（崔以前也經常查找思科電話的漏洞。）他們倆發現，電話啟動后，在合適時機用帶電的導線觸碰電話的快閃記憶體，有可能人為引發終止啟動過程的故障。相反，電話讓人可以訪問思科通常用於調試的命令行介面。按理說，消費者根本沒機會看到命令行介面。

崔和豪斯利還發現了該電話處理器的TrustZone安全方案中存在的安全漏洞，讓他們得以將代碼寫入到本該受到保護的處理器內存上。（他們在2016年4月向思科披露了這些缺陷。）一旦這兩位研究人員在啟動期間訪問故障排查門戶網站，就可以將自己編寫的代碼載入到處理器的安全區域並執行，從而覆蓋安全啟動機制。

隱形觸碰

這一切構成了複雜的攻擊手法；如果你手頭有帶電的導線，只需要打開電話就行。但是崔和豪斯利想讓攻擊更進一步，並且認識到時機適宜的電磁脈衝（EMP）衝擊波可能會觸發同樣的缺陷。那樣，他們就可以執行整個攻擊，不需要篡改電話部件。

實驗室級別的電磁脈衝設備耗資不菲，要花數十萬美元，於是這兩位研究人員使用3-D印表機和唾手可得的部件，自行搞出了一套系統，花了大概350美元。他們計劃發布整套方案的開源原理圖，那樣其他研究人員也可以使用它。

最後崔和豪斯利發現，在電話啟動4.62秒後向電話內存發送300伏的脈衝能夠獲得他們想要的故障，屢試不爽。由於可以訪問調試門戶網站，他們可以使用電話的控制台埠（電話背面的輔助埠），在5秒鐘內載入並運行覆蓋安全啟動機制的協議。

法國聖埃蒂安國立高等礦業學校的硬體安全研究員讓－馬克斯·迪泰特（Jean-Max Dutertre）說：「攻擊的原理很巧妙。找到繞過定時和空間解析度問題的方法始終是非常有效的。」

該系統目前可以從距離電話3毫米之外的地方發送脈衝，所以雖然攻擊不需要實際接觸，但確實要挨得很近。然而，攻擊者仍然可以設法引起嚴重故障，比如說手持小型電磁脈衝發生器，對著設備揮揮手――這種細微的動作就能打開電話，將導線接入其中。

Riscure North America是一家專門測試軟硬體安全的公司，首席技術官賈斯珀·范·沃登伯格（Jasper van Woudenberg）說：「就任何硬體攻擊而言，你都需要觸碰設備，所以那已經是個巨大障礙。但這是個很好的概念證明，表明如果你不注意這種攻擊，它們實際上可能會發生。」

誰中了電磁脈衝的招？

這種攻擊之所以如此頗具挑戰性，一方面在於它的攻擊對象：博通多核1Ghz ARM處理器。現代處理器密集地封裝晶體管，時鐘速度很高，因而很難迅速而準確地使電磁脈衝放電、足以影響晶元上的某一個特定工藝，又沒有附帶損壞。

但是如果將設備中的互聯部件（比如處理器、快閃記憶體和內存）本身視為計算機網路，研究人員就能想出更像網路黑客攻擊的故障注入策略――攻擊系統的最薄弱環節，進而危及真正的目標（這裡是功能強大的處理器）。

崔說：「我們想看看電磁脈衝的二階效應，因為它影響的不僅僅是單單一個機器，還影響相互依賴的部件構成的複雜網路。那樣，我們就可以避開傳統的電磁故障注入攻擊的限制，利用電磁脈衝穩定地改變計算機的計算方式。」

隨著電磁故障注入攻擊方法變得更有效，反過來保護部件免受物理非干擾性攻擊會來得更重要。一些超級安全的設備已經包含這樣的防禦機制，那是由於這種攻擊手法進一步的改進不僅讓物聯網設備岌岌可危，還讓提供全方位服務的計算機岌岌可危。

迪泰特說：「這種攻擊可能是毀滅性的，因為執行起來比較容易。」

雖然崔和豪斯利的研究嚴格來說只是一種概念證明，但他們提醒：其他組織可能有能力超過學術界的水平。

崔說：「我們並不認為自己是這項研究中走得最遠的。我們一直在業餘時間研究這方面，只是個副業而已。如果有人想往這方面投入大量的精力和財力，他們肯定會領先一步。」

往期熱文（點擊文章標題即可直接閱讀）：

• 《共享腳踏車上的智能鎖，做出來有多難？》

• 《認知計算、區塊鏈IoT、物聯網安全…看懂的人將控制未來》

• 《庫卡、ABB、發那科、安川，4大工業機器人巨擘早已在物聯網領域屯兵養馬》

• 《【重磅】物聯網產業全景圖譜報告，首開國內IoT產業二維視角全景圖之先河》

• 《一幅漫畫告訴你：除了WiFi，藍牙，最近火爆的NB-IoT能幹嘛？》

• 《一幅漫畫告訴你：NB-IoT背後，還有一個大家都在說的LoRa是什麼？》