今天我们聊聊「猥琐」这个话题。
画面上略微发福的两个中年男子,是世界顶级黑客。
左边这个叫于旸,人称“TK教主”,他是全世界名气最大的黑客之一。
右边这个叫周景平,人称“黑哥”,他曾让中国黑客技术在某些领域世界于领先。请注意!不仅自己领先,还带动中国技术水平领先于世界。
他俩的形象,是否和你心中的黑客不太相符,反倒像前不久流行的“中年油腻大叔”?
这是一个刻板印象,谁说黑客就要穿披风戴墨镜?黑客也都很接地气哒!正所谓人在江湖飘,行事要低调,想想《功夫》电影里的几大江湖高手,六指琴魔、包租公婆、火云邪神,一个个多质朴。
现实世界,大黑客也要带团队,当领导。
TK 是腾讯玄武实验室负责人,黑哥是知道创宇404安全实验室负责人。
2018年1月9日,TK曝出了一个既神奇又“猥琐”的黑客攻击手法,能影响国内数百款安卓手机应用,包括我们常用的支付宝、携程、百度外卖、12306智行火车票等等都曾中招。
神奇到什么程度?
黑客给你发个网址或二维码,只要你一点或者扫码,他就能克隆并登上你的APP账户。
也就是说:
你扫个码,黑客就能登录你的支付宝账号,查询、盗刷你的余额。
你点个链接,黑客登录你的携程账号,偷看你和恋人的开房记录。
你再点开一个链接,黑客能登录你的社交APP 偷看你的聊天记录,如果APP有相册权限,还能偷看你手机里羞羞的照片。
当然,前提是这三样东西你得有。
有图有真相:
文末有相关视频,有兴趣可自行观看
由于这事影响太广,连工信部有关领导都来站台:
当然,为了防止漏洞被黑产利用,腾讯在曝光之前已事先通告国家有关部门(CNVD)。支付宝等主流APP响应迅速,已及时修复该问题。
回到话题“猥琐”,这件事猥琐在哪儿?
注意!今天要说的猥琐,并非以往意义上的“形象体貌不佳”:
不是这个猥琐
今天要说的是“猥琐”另一种新含义,这种说法源自于网络游戏。
举几个例子让大家感受一下:
在美国黄色网站上学英语,以便保持长时间兴趣和精神集中。
为了打球赢姚明,我邀请他跟我比乒乓球;
我问一个姑娘:“你和你前男友还是朋友吗?”其实是想知道她是否谈过恋爱;
是不是有点“猥琐”?再看这张图:
当你听到、看到上面这些,可能心里会感叹,“这操作,好猥琐啊!”,通常前面还会用“卧槽”来加强语气。
其实你的真实意思是 “这波操作好犀利/机制/脑洞新奇/机智。”、“还有这种操作?”,它的另一种说法:“这走位好风骚”。
黑客也讲究“猥琐”和“骚”。前文提到的新型攻击手法就很“猥琐”。
先打个通俗的比方,大家感受一下:
手机放在床上充电,这事儿你肯定干过;
充电线用就了会老化、破损,这很正常;
长时间不拔充电器,有安全隐患,新闻里经常报道;
床上的被褥是易燃物,这是常识;
单看每件事,似乎都问题不大,都是常识,可组合在一起,你联想到什么?一场火灾。
上文攻击手法的猥琐之处就在于:它利用的所有安全风险点,都是几年前就公开的:
利用手机浏览器访问本地文件的风险,2009年之前业界就有共识;
应用内嵌浏览器设置不当的风险,2012年7月就有相关漏洞被披露;
克隆攻击的风险,2013年黑哥就公开发文讲过。
时隔数年,TK 把几个早已公开的风险点一组合,很神奇地形成了一套攻击手法,击穿国内市场上数百款主流APP。
在公布现场,TK把这种问题称为“多点耦合导致的漏洞”。这种漏洞有个特点:
每个点都说自己没有问题,组合在一起就形成了风险,并且这种风险很少有人意识到。
生活中到处是类似例子,比如:
插孔有问题?还是插座有问题?
插孔觉得是插头做得太大;插头觉得是插孔间距不够,大家都是依照市场标准做的,谁也不服谁。单独存在时谁都没问题,放在一起就出了问题,那问题到底出在哪 —— 整体设计问题。
回到这次“克隆攻击”为例,它涉及四个角色:
安卓系统厂商(谷歌公司)
小米、华为这样的手机厂商
支付宝、携程这样的APP应用厂商
用户(点击链接和扫码)
每个环节都有风险点,但也都不觉的自己有问题。
早在2012年,黑哥就发邮件把安卓系统的风险点报告给谷歌,当时他心想,即便不拿几万美元奖励,好歹做个好事能收到致谢。结果等到现在也没收到 —— 谷歌压根不觉得是个问题。
同样,手机厂商和APP厂商也不太注意。几个风险因素串在一起,最终问题爆发,大家一起攒了个烂摊子。
怎么处理呢?现在的情况是摊子最终烂在谁手里,谁就来收拾,这次是各大APP厂商。可大家都明白,当洪水来临,没有任何一颗水滴是无辜的。
TK 能发现这样一个神奇的攻击手法,可谓猥琐,更有意思的是:TK总能找到这样猥琐的漏洞。
是的,不是一次两次。事实上,TK最擅长把几个看似无关的点结合起来,形成某种奇特攻击手法。
2015年,他们发现一个名叫 BadBarcode 的攻击手法,专门针对条形扫码器。
超市商场医院随处可见的条形码扫码器
业内人士都知道:
条形码的协议和编码方式都是公开标准;
扫码器用模拟键盘的方式向电脑传输数据也是公开的技术;
电脑的操作命令快捷键也是公开的;
TK 把这三个公开知识点一结合,创造出一种“猥琐”的攻击方式:
用公开编码标准,把攻击代码编进一个条形码里,放在扫码器上一扫,就能操控连接扫码器的电脑。
2016年,TK 团队又发现一个叫 BadTunel 的漏洞,是Windows史上影响最广泛的漏洞,从Win95到Win10都中招!
这个漏洞也是多点耦合导致的问题,9个风险点凑在一起,形成一个很神奇的攻击特效:
当用户打开一个 URL网址,或者打开任意一种 Office 文件、PDF文件或者某些其他格式的文件,或者插上一个 U 盘——甚至不需要用户打开 U 盘里的任何东西,攻击者都可以劫持整个目标网络。
2017年,腾讯玄武实验室叕发现了一个三星支付 SamsungPay 盗刷风险,也是基于几个简单事实:
三星支付能像模拟磁条卡刷卡;
磁条卡的编码是公开标准;
用一个大铜线圈能远程接收模拟刷卡信号;
于是他们在一两米外放个大线圈,就能实现远程盗刷三星支付。(SumsangPay)
相关阅读:《盗刷三星支付,玄武实验室如何发现漏洞》
当时他们把问题报告给三星,结果三星也是直接忽略风险点……(详情点击上文链接)
类似案例还很多,本文不赘述。回到问题:为什么TK总能发现这么奇特猥琐的漏洞?
知乎上有个高票答案提供了解答:
------------
问:为什么搞「安全」猥琐最重要?
答:正好前几天有个同事找我聊视野和思路的问题。我后来拿出一把锁打比方:
多数人只知道拿钥匙开锁,这是一般用户;认真从外部观察过锁的人会想到通过拨锁舌也能开锁,这是比较好的程序员;在相应位置设计一个挡片阻止直接拨锁舌,这是漏洞防护;学过开锁的人,知道怎么通过拨弹子这种通用的方法把锁打开,这是一般的信息安全技术人员;把锁拆开,观察内部原理,这是逆向工程;用逆向工程技术全面透彻地分析某种锁的内外结构、运作细节,设计出甚至无人谈及过的开锁方法,这就是安全研究。
然后我向他演示了一种我研究的方法,利用一个漏洞几秒钟就可以把锁打开。所谓“猥琐”,实际上就是基于对某个领域信息的全面掌握,提出达成某个目的的巧妙方法。这其实几乎存在于所有工程技术领域。比如说,利用巨磁阻效应制造硬盘、合成生物学,都属于“猥琐”。
------------
这个问答发生在三年前,回答者,正是TK本人。
可以想象,TK 发现“克隆攻击”时,没有聚焦在手机系统、APP等任何一个具体的环节,而是在俯瞰整条产业链,当所有点放在一起,构成了一幅清晰图景。
跳出庐山,于是他看到了整个庐山,这就是大黑客。猥琐,犀利,有格局。
他是如何做到这种程度?曾有人真的在网上问过他。—— “怎样才能获得你的毕生功力?”
当时TK回答:
“学Windows的方法有三步,没有诀窍,也不用花钱买书:“一、先把Windows的帮助文件从头到尾看一遍;二、在Windows目录下搜索*.txt、*.htm?、*.log、*.ini,把每一个文件内容都看一遍;三、把注册表浏览一遍。”
他说:
“其中刻苦是必须的,因为聪明的人太多了。但也不能忽略自己的优势和特质,比如我的优势就在于阅读、表达、好奇和另辟蹊径的探索方式。”
为什么他能找到潜藏在Windows系统里数十年的漏洞?因为对系统内外的每个重要,或看似不重要的点,都了如指掌。Windows 在他手里, 像是捏在手里把玩了十几年的核桃,每一条纹路都没放过。
若非对条形扫码器和编码标准极其了解,怎能找到 BadBarcode 漏洞?
若不是把三星支付体系摸了个遍,怎会发现一个破金属圈都能用来盗刷?
如果对安卓系统、手机特性、APP开发安全没有整体掌握,又岂能串起那么多看似不相关的风险点,发现“克隆攻击”?
无他,但手熟尔。至此,大黑客TK的人生奥秘展露无疑。
说到TK,其本人的经历也令人震惊。他学医出身,十几年前还穿着白大褂,为病人治伤捉疾,如今他已在网络安全之路上走得比绝大多数人都远。早年,业内人给他起了个外号叫“妇科圣手”,如今大家还这么叫他,却带着些肃然起敬的意味。
巧的是,黑哥也是医科出身,几年前他还在湖南益阳的一家小医院给人切JJ,俩人被戏称“妇科男科两大高手”。写完此文,再回看文头那两张中年发福男子的照片,我又多了份敬佩。
我知道,他们也曾是不羁少年,他们也在下班劳累后仍然挑灯钻研技术。
时光让他们脑袋上多了几斤肉,里头却积淀着智慧(不知为何忽然想起高晓松);手中多了个保温杯,里面盛的是成就和思考;腰带紧了些,肚里是年轻人没有的格局。他俩是上一代黑客的缩影,是下一代技术人追赶的背影。
人总会变老,我也希望自己到他们这个年纪,有他们这样的睿智、格局、沉稳。当然,前提是当下得踏实、刻苦和探索精神。完稿时,我望见窗外天色渐明,想把这篇TK和黑哥的小故事送给所有正追赶理想的人,一起加油!
-End-
本文作者谢幺,微信号dexter0,欢迎各路大侠交流。
---------------------花絮---------------------
文中提到的“克隆攻击”演示视频:
https://v.qq.com/txp/iframe/player.html?vid=l0531il7k4p&width=500&height=375&auto=0
2.点击阅读原文,有一篇黑哥前阵子写的关于“猥琐流”的文章分享给大家。