這個白帽黑客曾搞了個看片神器 紅外遙控也被他控制了

講真，當(dāng)阿里安全研究員五達(dá)跟我揭秘他是如何通過攝像頭、風(fēng)扇來模擬“紅外線信號”發(fā)射器，成功黑進(jìn)電視機(jī)、空調(diào)時，我是懵逼的。

后來，我轉(zhuǎn)念一想，畢竟他是搞出了一個“看片神器”的男人?。ɡ卒h網(wǎng)老文新推《這個黑客搞出了一個看片神器，水印去無蹤｜Black Hat USA 2018》）。

就是這個以身試神器的男人—;—;五達(dá)

勇攀高峰，不走尋常路搞研究，說的就是五達(dá)。

上一次，五達(dá)搞古典樂團(tuán)，從而想到了維護(hù)樂團(tuán)視頻的原創(chuàng)性。這一次，我很懷疑他的這項神奇的研究是從“走近科學(xué)”開始的。

有一天，辛勤工作的安全研究員五達(dá)通過通宵奮戰(zhàn)，還是想不到接下來自己要破解什么新東東時，感受到了清晨的一縷陽光。此時，正是萬物蘇醒，五達(dá)精神一振：光！

太陽光分為分為可見光與不可見光。可見光的波長為400～760nm，散射后分為紅、橙、黃、綠、青、藍(lán)、紫7色，集中起來則為白光。不可見光又分為2種：位于紅光之外區(qū)的叫紅外線，波長大于760nm，最長達(dá)5300nm，位于紫光之外區(qū)的叫紫外線，波長290～400nm。

紫外線可以殺菌，紅外線則有巨大的熱效應(yīng)。聰明的人類還利用紅外線干了一件事：紅外線遙控器，通過不同頻率的紅外線閃動，“指揮”電視機(jī)、空調(diào)等工作。

如果這些電視機(jī)、空調(diào)沒有聯(lián)網(wǎng)，是否可能被入侵？五達(dá)的靈感來了：一個看似沒有安全風(fēng)險點的挑戰(zhàn)項目—;—;沒有聯(lián)網(wǎng)的傳統(tǒng)設(shè)備可能有安全風(fēng)險，被黑客入侵嗎？

五達(dá)想到了兩種方法：

如果紅外線遙控器控制的電視機(jī)、空調(diào)、家用攝像頭同處一室，以這個家用攝像頭為跳板，可以入侵電視、空調(diào)。

如果沒有攝像頭，有一臺風(fēng)扇也行。

第一種方法

首先，你要了解紅外遙控器“說出的語言”：它發(fā)出的紅外光是多長波長的光？是以什么樣的頻次對電視機(jī)發(fā)出何種指令？

五達(dá)借助了三星Galaxy S10手機(jī)的“super slow motion”功能，正常攝像機(jī)的拍攝速度是 30 幀/每秒，但這個“super slow motion”可以慢到 960 幀/每秒。他利用這個功能錄制了遙控器與電視機(jī)通過紅外信號通訊的過程，并分析出對應(yīng)紅外光閃動頻率的“語言”。

至此，你可以把這個手機(jī)理解為“信號分析儀”。

五達(dá)發(fā)現(xiàn)，紅外光要以38000次/秒的頻率閃動，才能發(fā)出有效可激活的信號，并需要用過濾器過濾太陽光中存在的紅外光，也就是說，過濾其他頻次的雜信號。

此外，這種紅外光必須是 940 nm的光。

那么，問題來了：與電視機(jī)同處一室的家用攝像頭發(fā)出的紅外光波長是否達(dá)到 940 nm？黑客黑進(jìn)攝像頭后，能否讓攝像頭發(fā)出 38000次/秒的紅外光？

五達(dá)發(fā)現(xiàn)，XX品牌的攝像頭發(fā)出的剛好是這種波長的紅外光，攝像頭被控制后也能發(fā)出這種頻次的光。

但是，無論是紅外遙控，還是紅外攝像頭，它們的控制距離都非常有限，就在幾米范圍之內(nèi)，有沒有辦法“遠(yuǎn)距離”控制，延長控制范圍？

有的。

五達(dá)自制了一個“紅外補(bǔ)光燈”?！敖?jīng)過實驗，我發(fā)現(xiàn)增加了紅外光的功率后，可以將‘遙控器’的距離延長到原來的3-4倍?！彼f。

也就是說，在一定條件下，黑客其實可以藏身在另一棟樓中，通過這些裝備，打開你家沒有“聯(lián)網(wǎng)”的電視機(jī)、空調(diào)，甚至利用電視機(jī)搜索相關(guān)內(nèi)容。

“攻擊者可以利用這個東西用來控制一些其他的設(shè)備，有一些互聯(lián)網(wǎng)電視有瀏覽器，利用紅外燈閃爍可遙控電視機(jī)彈出一個軟鍵盤輸入地址?！蔽暹_(dá)說。

五達(dá)第一種腦洞的實際場景

第二種腦洞

啟發(fā)五達(dá)的是卡巴斯基曾經(jīng)的一則廣告：一個首席安全官正在開著他的生日派對，電風(fēng)扇突然被黑客入侵，黑客很囂張地在電風(fēng)扇的顯示屏上打出了字：給我XXX錢才恢復(fù)。

如果電風(fēng)扇被入侵，是否可以作為切割太陽光中的紅外光的“斬波器”？如果可以，讓紅外光以上述特定頻率閃動，豈不是生生造出來一個“遙控器”？

在五達(dá)的實驗環(huán)境里，他并沒有扛出電風(fēng)扇，而是使用一個電鉆和光盤，嘗試造出一個“斬波器”。電鉆每秒可以達(dá)到 10000 轉(zhuǎn)-30000 轉(zhuǎn)，于是，他在光盤上打了 150 個均勻分布的小洞，結(jié)果發(fā)現(xiàn)，切割普通的光就可以構(gòu)造出紅外遙控信號。

五達(dá)制作的神器

腦洞再打開一點

有紅色信號燈的飲水機(jī)能否被改造成遙控器？普通的 LED 燈能不能發(fā)出紅外光？

“我覺得可能性不太大，畢竟這種 LED 小燈的成本就是幾分錢，大部分廠商是不會這么做的。但是我們沒有做過這個實驗，我覺得這個問題很有意思?！蔽暹_(dá)說。向五達(dá)拋出這個問題的是 DEFCON2019 上的專業(yè)觀眾，自從五達(dá)在去年的 DEFCON 上演示過去水印的神器后，他又帶著這項腦洞大開的研究到全世界最牛的黑客大會上演講。

“使用常見的機(jī)械結(jié)構(gòu)組成空間光調(diào)制器，從而實現(xiàn)使用純機(jī)械結(jié)構(gòu)通過切割紅外光源，生成可以控制傳統(tǒng)家電的遙控信號。通俗來講，攻擊者通過調(diào)制工業(yè)風(fēng)扇葉片轉(zhuǎn)速，切割攝像頭的紅外補(bǔ)光燈，將空調(diào)打開。我們首次演示這一可行性的目的是，提醒大家在物聯(lián)網(wǎng)安全中，不要忽視非智能設(shè)備潛在攻擊面?！蔽暹_(dá)說。

你可以看到，五達(dá)這次的研究跟我們一般認(rèn)知上的“hacker 研究”有很大的不同，但是以不同尋常的腦洞探索看上去不可被黑進(jìn)的領(lǐng)域，誰又能說，這不是一種純粹的 hacker 精神呢？