芯片形同虚设 挥挥手即可攻陷

如果提到黑客使用的标准工具包，人们通常会想到软件漏洞和恶意软件。但是两位研究人员在测试一种不同类型的攻击手法：你只要挥挥手，一种物理工具就可以攻陷设备。

在最近的REcon计算机安全会议上，Red Balloon Security公司的创始人安格·崔（Ang Cui）和研究科学家里克·豪斯利（Rick Housley）提出了一种攻破处理器安全的新方法：利用电磁脉冲，引起硬件出现特定的故障。该攻击手法以精确的时间间隔扰乱正常活动，从而攻克Secure Boot（安全启动）保护机制，这种机制保护处理器避免运行不可信的代码。

这两位研究人员尝试了沿用几十年之久的“故障注入攻击”――这种攻击手法引起一种致命故障，进而触发异常的、可被人利用的计算机行为。不过，这种攻击通常需要实际接触目标设备的部件。

崔说：“这种手法的优点在于，它不具有物理干扰性。也就是说，你不必碰触设备，也不会给部件留下任何表面上的痕迹。电磁脉冲阶段没有数据交换，所以防火墙根本发现不了这种攻击。”

不安全的启动

Red Balloon公司专门提供物联网入侵防御工具，这好比是面向物联网的防病毒软件。但是该公司使用其安全工具，为Secure Boot（安全启动）保护的物联网设备保驾护航时却遇到了问题。Red Balloon的产品突破不了这层屏障。于是，该公司与设备供应商合作，确保其软件兼容。而这个困境让崔和豪斯利对于这个理论问题：故障注入攻击能不能绕过严加保护的物联网设备上的安全启动机制产生了兴趣。

于是他们开始在思科8861 VoIP电话上进行试验，试图用自己的安全产品保护该电话，但未能如愿同偿。（崔以前也经常查找思科电话的漏洞。）他们俩发现，电话启动后，在合适时机用带电的导线触碰电话的闪存，有可能人为引发终止启动过程的故障。相反，电话让人可以访问思科通常用于调试的命令行接口。按理说，消费者根本没机会看到命令行接口。

崔和豪斯利还发现了该电话处理器的TrustZone安全方案中存在的安全漏洞，让他们得以将代码写入到本该受到保护的处理器内存上。（他们在2016年4月向思科披露了这些缺陷。）一旦这两位研究人员在启动期间访问故障排查门户网站，就可以将自己编写的代码加载到处理器的安全区域并执行，从而覆盖安全启动机制。

隐形触碰

这一切构成了复杂的攻击手法；如果你手头有带电的导线，只需要打开电话就行。但是崔和豪斯利想让攻击更进一步，并且认识到时机适宜的电磁脉冲（EMP）冲击波可能会触发同样的缺陷。那样，他们就可以执行整个攻击，不需要篡改电话部件。

实验室级别的电磁脉冲设备耗资不菲，要花数十万美元，于是这两位研究人员使用3-D打印机和唾手可得的部件，自行搞出了一套系统，花了大概350美元。他们计划发布整套方案的开源原理图，那样其他研究人员也可以使用它。

最后崔和豪斯利发现，在电话启动4.62秒后向电话内存发送300伏的脉冲能够获得他们想要的故障，屡试不爽。由于可以访问调试门户网站，他们可以使用电话的控制台端口（电话背面的辅助端口），在5秒钟内加载并运行覆盖安全启动机制的协议。

法国圣埃蒂安国立高等矿业学校的硬件安全研究员让－马克斯·迪泰特（Jean-Max Dutertre）说：“攻击的原理很巧妙。找到绕过定时和空间分辨率问题的方法始终是非常有效的。”

该系统目前可以从距离电话3毫米之外的地方发送脉冲，所以虽然攻击不需要实际接触，但确实要挨得很近。然而，攻击者仍然可以设法引起严重故障，比如说手持小型电磁脉冲发生器，对着设备挥挥手――这种细微的动作就能打开电话，将导线接入其中。

Riscure North America是一家专门测试软硬件安全的公司，首席技术官贾斯珀·范·沃登伯格（Jasper van Woudenberg）说：“就任何硬件攻击而言，你都需要触碰设备，所以那已经是个巨大障碍。但这是个很好的概念证明，表明如果你不注意这种攻击，它们实际上可能会发生。”

谁中了电磁脉冲的招？

这种攻击之所以如此颇具挑战性，一方面在于它的攻击对象：博通多核1Ghz ARM处理器。现代处理器密集地封装晶体管，时钟速度很高，因而很难迅速而准确地使电磁脉冲放电、足以影响芯片上的某一个特定工艺，又没有附带损坏。

但是如果将设备中的互联部件（比如处理器、闪存和内存）本身视为计算机网络，研究人员就能想出更像网络黑客攻击的故障注入策略――攻击系统的最薄弱环节，进而危及真正的目标（这里是功能强大的处理器）。

崔说：“我们想看看电磁脉冲的二阶效应，因为它影响的不仅仅是单单一个机器，还影响相互依赖的部件构成的复杂网络。那样，我们就可以避开传统的电磁故障注入攻击的限制，利用电磁脉冲稳定地改变计算机的计算方式。”

随着电磁故障注入攻击方法变得更有效，反过来保护部件免受物理非干扰性攻击会来得更重要。一些超级安全的设备已经包含这样的防御机制，那是由于这种攻击手法进一步的改进不仅让物联网设备岌岌可危，还让提供全方位服务的计算机岌岌可危。迪泰特说：“这种攻击可能是毁灭性的，因为执行起来比较容易。”

虽然崔和豪斯利的研究严格来说只是一种概念证明，但他们提醒：其他组织可能有能力超过学术界的水平。

崔说：“我们并不认为自己是这项研究中走得最远的。我们一直在业余时间研究这方面，只是个副业而已。如果有人想往这方面投入大量的精力和财力，他们肯定会领先一步。”

相关阅读：

第一代是CPU，第二代是GPU，第三代是什么？AI芯片！

开源芯片模仿Linux的道路，叫板封闭的x86和ARM

只要使用一个空的登录字符串！即可远程劫持采用英特尔不安全芯片的计算机

红色警报：数百万的英特尔工作站和服务器芯片已裸奔近十年！

这个“异常巧妙”的后门隐藏在计算机芯片中

一枚芯片的实际成本是多少？

国家“互联网+”行动战略发布：核心芯片、高端服务器、高端存储、数据库和中间件等产业将受益