“亲爱的,今天去看演唱会吧。”
“好的。”
“哇,全场统一变换的荧光棒,也太酷了。”
“酷吗,我能控制整场荧光棒颜色你信不信?想换哪个颜色换哪个颜色。”
“真的吗?”
……(以下省略技术男在演唱会现场操控全场荧光棒变色并且不走心告白女主角的玛丽苏剧情)
事情就是这样的,雷锋网编辑在刚刚结束的 FIT 2019 大会上看到了由360天马安全团队研究员杨芸菲主演一出情景剧——技术男一招操控荧光棒赢得女友的爱,女主角:不重要。
虽然剧本和台词略有土味,但“黑”掉演唱会荧光棒的过程却很有趣。
改变荧光棒颜色,可以吗?
据杨芸菲说,以上场景来源于他真实的个人经历。
喜欢看演唱会的追星女友每次看完五月天演唱会都要向他夸赞现场,并秀一下拿回来的荧光棒,“现场统一控制,特别有排面!”
而他当时的想法是,“有什么了不起,我要找找有没有什么安全漏洞可以控制你的荧光棒。”(永远不要试图理解一个技术男的脑回路)
有了这个想法杨芸菲先去了解了一下群控荧光棒的原理,其实就是中央控制台以RF广播形式发射信号,荧光棒接受信号进行对应颜色变化,以此控制全场荧光棒与舞台灯光、现场音效形成比较好的视觉效果。
五月天演唱会现场
这种控制其实有多种模式,比如群控模式就是让所有荧光棒在同一时间实现整体颜色变化,响应时间可以做到100帧/秒。控制器每个键值对应不同的颜色变幻模式,如固定颜色常亮、关闭、闪烁、顺序变幻等;还有点控模式,可以单独控制每一个荧光棒的颜色变幻,全场荧光棒形成特定字母、图案;另外也有分区控制和声控模式等。
也就是说,荧光棒只是一个接收端,重点还在控制器上。所以怎样才能模拟成控制器发出控制信号呢?
起初杨芸菲和团队伙伴们聊了聊,大家的想法是去演唱会现场采集发射器的信号进行回放,但……票价略贵。原本他打算从网上购买该款荧光棒的控制器,但拆开女友带回来的荧光棒,也找到了荧光棒的厂家,但发现他们根本不对外售卖。
不过还有万能的某宝可以寻找相似设备。
随后,杨芸菲就联系到一个销量较好,甚至已经卖到了某些企业年会、体育馆活动现场,还实现了DMX控制器的卖家(DMX512灯光控制协议和接口,可连接DMX控制台,由灯光师统一控制光棒颜色变化),卖家很贴心的为小型环境特意设计了小型控制器,报价150元,大型控制器1500元。通过套话,杨云菲得知大型控制器也没有发出特殊信号,只是二者功率有所差别,大型控制器可控制万人以上场合,小型只能控制千人。
拿到小型控制器后就可以开启副本模式了。
一场演唱会的灯光效果要预演多久?总归不是一个极短的数字。但要破坏却可能轻而易举,成为“上帝之手”控制演唱会荧光棒也许只需要三步。
第一步,找到控制台的工作频率。
第二步,通过与目标无线系统频率相同的监听设备(如HackRF One),采集原始信号。比如控制器按键转换绿色荧光效果,会发送无线电波,采集此时信号;转换红色荧光效果,会发送另一段不一样的无线电波,采集此时信号。
杨芸菲所用的HackRF One设备
第三步,发送之前采集的信号。
当目标系统没有考虑信号重放的问题,直接截获一段信号重放出来,就能影响目标系统,达到荧光棒变色的效果。
杨芸菲告诉雷锋网,他购买设备前就推测这些荧光棒没有考虑重放问题。因为对于厂家来说,如果加上类似滚动码等防护机制,不仅会提升实施难度,而且会造成成本增加,对于一个低成本的设备而言是无法接受的。
除了上面提到的重放攻击形式,杨芸菲还研究了另一种攻击方式——欺骗攻击。采集原始信号后根据波形分析出0101的原始数据,尝试寻找造成颜色变幻的关键码位,然后对症下药,直接修改码位就可以改变颜色。然后再通过GNU Radio软件模拟出来。
相比重放攻击,这种方式需要在一定程度上了解报文的构成,相当于自己敲代码,而重放攻击相当于直接拷贝了程序。
在FIT大会的最后,杨芸菲还另外使用了一个特殊的工具来控制全场的荧光棒HackCube-Special ,就是这货,一个长宽高是3cm的小立方体。
HackCube-Special 是一款360自研的低成本,便携式,可工作在多个无线射频频段的无线电安全审计平台。
据说做这款产品的初衷是因为做无线安全研究的工作中,技术小哥们常常在户外环境中对一些设备进行安全检测,需要抱着电脑,连接无线设备,蹲着或者坐在地上,总是吸引不少人的眼球,十分尴尬。
所以这款能装进口袋的小玩意儿除了能通过手机或者平板电脑,方便的对设备进行安全审计,更重要的是,酷啊!(现场破解视频见雷锋网宅客频道公众号文章)
杨芸菲偷偷透露,在HackCube-Special 社区里有丰富的案例,毕竟使用固定码遥控信号的设备太多了。比如平时停车场的抬杠,或者家庭常见的无线门铃以及烟雾报警器、门磁报警器,甚至某个女性用的无线情趣用品的也是这种方案……
行吧。
相比起来这些场景都比荧光棒场控被攻击带来的危害大,所以为什么杨芸菲会去研究它?
用他的话说是未雨绸缪,举个例子,几年前他们曾经研究过一个关于“隔空盗刷”的攻击方式,而这种攻击方式已经被黑客团伙用于实际攻击。
一周前就有媒体曝光警方抓捕了一个犯罪团伙。现在很多银联卡都换成芯片卡的,芯片卡都默认会开通免密支付,也就是闪付功能,小金额的消费不需要输密码或者签名,pos机感应到芯片卡的这个闪付功能,就会自动消费的了。
犯罪团伙利用一部设置好的pos机偷偷靠近下手对象感应一下。感应距离大概是5公分。由于免密支付最高限额是1000元,所以每次嫌疑人都是设定999以下,专门选择到人流密集场所逛街,就这样走一圈“收获”也不少。
所以,尽管荧光棒这个攻击很简单,似乎也不涉及利益,但如果有一天演唱会的现场有人能通过简简单单的重放攻击就能影响周围荧光棒的话,门槛如此之低,未来可能真的有人这么做。
毕竟饭圈如战场,比如TF boys王俊凯应援色是蓝色,王源是绿色,易烊千玺是红色。每年的应援色大战也愈演愈烈,甚至有新闻报道出现粉丝因荧光棒颜色大打出手的事件。
“总要有一个人率先站出来想这些还没出现的事情,即使现在可能没有这样的攻击,不代表未来不会出现,走在前面总是好的。”
最后,据说在主办方设计的剧情中还有深情告白和献花,但被杨芸菲pass掉了。
不过如果把对象换成女朋友,这种方式的确是属于技术男的浪漫。
雷锋网宅客频道(微信公众号:letshome),专注先锋技术,讲述黑客背后的故事。欢迎关注雷锋网宅客频道。