首頁>熱點(diǎn) >
智能鎖設(shè)計(jì)存漏洞 小黑盒輕松破解智 2018-06-27 15:46:41  來源:都市快報(bào)微信公號(hào)

2018年5月26日,第九屆中國(永康)國際門業(yè)博覽會(huì)在有“中國門都”美譽(yù)的浙江永康開幕。

但凡門博會(huì),常有開鎖高手來“踢館”。據(jù)業(yè)內(nèi)人說,這幾乎是行內(nèi)潛規(guī)則了,比如鎖匠圈里有“鬼馬大師”之稱的張洪軍,就是歷年門博會(huì)上的???。

因?yàn)槭浅B(tài),所以當(dāng)門博會(huì)第一天,一位叫王海麗的年輕女人對(duì)著一個(gè)個(gè)展位宣稱“你家的智能鎖,我3秒就能開”時(shí),大家并沒在意。

據(jù)業(yè)內(nèi)人事后說,開始大家沒在意,是因?yàn)橐郧暗?ldquo;踢館”,雙方都有心照不宣的“江湖規(guī)矩”——這世上沒開不了的鎖,只是時(shí)間問題。當(dāng)場開不了,并不算栽,握手言和,算交個(gè)朋友;要是鎖不幸被破了,鎖匠也不讓你難堪,送上改良方法,收點(diǎn)“咨詢費(fèi)”。對(duì)商家來說,這不算壞事,互促互進(jìn),皆大歡喜。

但王海麗接下去的操作,讓諸多智能鎖商家手腳冰涼!

王海麗從包里拿出一個(gè)塑料小黑盒。它比手機(jī)小一點(diǎn),但要厚一倍,盒頂露出一截銅線圈。黑盒上只有兩個(gè)按鈕:底部是電源鍵,側(cè)面是觸發(fā)開關(guān)。將黑盒的銅線圈貼近智能鎖,在鎖體不同的位置游走,同時(shí)一下一下按下觸發(fā)鍵,“唰”,隨著鎖體里電機(jī)轉(zhuǎn)動(dòng)聲,原本設(shè)置指紋和密碼的智能鎖打開了!

這就是出現(xiàn)在門博會(huì)上的小黑盒。 本文圖片 都市快報(bào)微信公眾號(hào)

大家開始坐不住了……而王海麗則“大開殺戒”,整個(gè)過程輕松得令人恐怖:沒有費(fèi)時(shí)費(fèi)力的暴力拆鎖、更不用復(fù)雜高端的技術(shù)破解,小黑盒就如門禁卡般,隔空一刷、門洞大開!

1、2、3、4……王海麗當(dāng)場刷開了8家品牌商的智能鎖,最快的真的只用了3秒鐘!不夸張地說,自打有踢館潛規(guī)則以來,智能鎖從沒被虐得這么慘過。圍觀的人越來越多,大家紛紛拿出手機(jī),把焦點(diǎn)定在王海麗和她的小黑盒上。

接下來,事件開始在鎖具圈內(nèi)發(fā)酵,一個(gè)又一個(gè)智能鎖被小黑盒秒開的視頻,陸陸續(xù)續(xù)出現(xiàn)在鎖匠和鎖具經(jīng)銷商的微信朋友圈——這些被秒開的智能鎖不光有此次門博會(huì)上的,還有在小區(qū)里實(shí)測被瞬間攻陷的。

與此同時(shí),一篇《那個(gè)女人毀了整個(gè)指紋鎖行業(yè)》的文章開始在網(wǎng)上流傳,行業(yè)圈內(nèi)一片嘩然。

小黑盒究竟是什么破鎖利器?這些智能鎖究竟出了什么漏洞?遭遇如此慘敗?這位被指“毀了智能鎖行業(yè)”的王海麗究竟又是何許人?她為什么要這么做?

6月24日上午,江蘇徐州,都市快報(bào)《好奇實(shí)驗(yàn)室》對(duì)她進(jìn)行了專訪。

小黑盒目前賣到脫銷,戲劇化變成商家自查法寶。有部分流入市場,“好奇實(shí)驗(yàn)室”已向公安部報(bào)警。

“我已經(jīng)得罪不少人了,但這個(gè)行業(yè)確實(shí)要洗牌了。”王海麗說,她是湖南一家智能鎖公司的老板,小黑盒是和常州一家開鎖工具廠家一起做出來的,去永康門博會(huì)上“搞事情”,就是真正的“踢館”。

為什么去踢館?

我們很多鎖都賣到國外去了,于是就有人仿我們。你要光仿我們的好技術(shù),我也沒辦法??伤麄兎挛业耐庑?、仿我的廣告,卻用最差的技術(shù)和配件,還說是我的分公司,所以我不干了!

你知道這事讓很多品牌商和經(jīng)銷商頭疼死了嗎?

比如,《好奇實(shí)驗(yàn)室》以前經(jīng)常采訪的杭州一家鎖業(yè)公司,代理了幾個(gè)品牌智能鎖,還正在合作研發(fā)一款新型識(shí)別的智能鎖?,F(xiàn)在他們很尷尬,不知道鎖究竟出了什么漏洞,一旦遇到小黑盒,代理的鎖還靠譜嗎?新研發(fā)的鎖扛得住嗎?這幾天一直在向我們打聽進(jìn)展。

門博會(huì)之后,就有圈里的人問我買小黑盒。我以前是送的,現(xiàn)在索性做起了這筆生意,我給小黑盒起了一個(gè)名字:“智能鎖專業(yè)測試工具”,每臺(tái)580元,最高的時(shí)候賣到1200元。

那些秒開的視頻傳得越瘋,罵我毀了整個(gè)行業(yè)的聲音越狠,小黑盒卻賣得越來越火爆,已經(jīng)快脫銷了。本來是開鎖工具,現(xiàn)在變成了品牌商、經(jīng)銷商驗(yàn)證自己智能鎖是否安全的測試工具,這種戲劇性本身就說明了很多問題。

小黑盒賣出了多少?

這一個(gè)月來,我好幾個(gè)城市跑來跑去,在寧波、永康、長沙分別設(shè)了倉庫,銷量超過3000多臺(tái)。因?yàn)橹挥幸粭l生產(chǎn)線,產(chǎn)能跟不上,各個(gè)發(fā)貨倉都是配額供貨,部分單子只好延期發(fā)貨。目前市面上已經(jīng)出現(xiàn)了兩款類似的黑盒子,臺(tái)州那邊生產(chǎn)的,價(jià)格還更便宜。

微信上現(xiàn)在每天都收到用戶反饋信息,被小黑盒破解的智能鎖數(shù)量不斷在增加。

我預(yù)估全國有××%的智能鎖都能破開(記者注:此數(shù)據(jù)無法核實(shí),故不公開)。我知道現(xiàn)在中國五金制品協(xié)會(huì)已經(jīng)緊急啟動(dòng)了預(yù)案,在全國20個(gè)城市開展抽樣檢測。(記者注:這一信息尚需官方核實(shí))

不擔(dān)心這東西流到壞人手里嗎?

我也擔(dān)心出事,任何一把開鎖工具都是雙刃劍。我們賣得很謹(jǐn)慎,主要給品牌商、經(jīng)銷商和鎖匠三類人。

品牌商需要有身份證明,有的品牌商也擔(dān)心我們不發(fā)貨,還主動(dòng)提供營業(yè)執(zhí)照和門頭照片。經(jīng)銷商都是朋友圈的,大都認(rèn)識(shí),人群相對(duì)不算復(fù)雜。鎖匠需要提供國家統(tǒng)一的職業(yè)資格證。都是一一登記,去向很清晰。這也是作為開鎖工具,公安部門強(qiáng)制要求的。

因?yàn)橹悄苕i被秒開的視頻被大量轉(zhuǎn)發(fā),確實(shí)也有個(gè)人聯(lián)系我們拿貨,但都拒絕了。但我們更希望有關(guān)部門把智能鎖漏洞這事管起來,不要捂著,也捂不住啊,現(xiàn)在干這行的都知道了。

小黑盒其實(shí)就是特斯拉線圈,淘寶上已有人開始銷售

生產(chǎn)車間工人在組裝小黑盒。

小黑盒構(gòu)造并不復(fù)雜,就是一個(gè)特斯拉線圈——利用變壓器使普通電壓升壓,然后經(jīng)由兩級(jí)線圈,從放電終端放電的設(shè)備;通俗說,就是一個(gè)人工閃電制造器,全世界有很多愛好者。特斯拉線圈會(huì)產(chǎn)生強(qiáng)電磁脈沖。如果把它靠近一個(gè)熒光燈管,燈管就會(huì)發(fā)亮。而這種高頻率、高強(qiáng)度的電磁脈沖,可以破壞周邊的電子設(shè)備。

雖然王海麗沒有細(xì)說特斯拉線圈針對(duì)智能鎖哪個(gè)漏洞進(jìn)行的攻擊,但她擔(dān)心的事終于還是發(fā)生了。

6月26日清晨,《好奇實(shí)驗(yàn)室》發(fā)現(xiàn),這把“雙刃劍”已經(jīng)從微信朋友圈公開轉(zhuǎn)到淘寶網(wǎng)上銷售。店鋪10多家,發(fā)貨地有重慶、東莞、徐州,價(jià)格更便宜,每臺(tái)只要320元,最高的銷量已經(jīng)賣出160多臺(tái)。

“近期排單比較多,要明天發(fā)貨。”出乎意料的是,作為一種開鎖工具,賣家沒有向記者索要任何身份證明。

對(duì)此,好奇實(shí)驗(yàn)室昨日已向公安部網(wǎng)絡(luò)違法犯罪報(bào)警平臺(tái)、阿里違法商品報(bào)警平臺(tái)舉報(bào)。

《好奇實(shí)驗(yàn)室》實(shí)測:用小黑盒開鎖成功率到底有多高?

這次智能鎖慘敗事件,真的是因?yàn)槟承┲悄苕i廠家偷工減料造成的嗎?永康踢館事件后,《好奇實(shí)驗(yàn)室》聯(lián)系了浙江鎖具產(chǎn)品質(zhì)量檢驗(yàn)中心。

檢驗(yàn)中心反饋說,他們也是在第一時(shí)間拿到了小黑盒,從倉庫中拿了10款智能鎖進(jìn)行了測試,結(jié)果打開了1款,但目前對(duì)漏洞和破解原理還不是很清楚。

10∶1的破開率看上去并不是很嚴(yán)重,但也有業(yè)內(nèi)人士提醒——送質(zhì)檢中心檢驗(yàn)的鎖具與其量產(chǎn)后的,往往不是一回事。“前面要的是通過,后面考慮的是成本。”

另一方面,也有不少商家在永康踢館事件后迅速打出“經(jīng)特斯拉線圈測試,未被破解”的視頻,以應(yīng)對(duì)當(dāng)下風(fēng)波。

如果你在搜索引擎中打入“特斯拉線圈、強(qiáng)電磁脈沖”關(guān)鍵詞,看到的內(nèi)容幾乎一致,尤其是在破解原理上——業(yè)內(nèi)人士的解釋是:特斯拉線圈產(chǎn)生的強(qiáng)電磁脈沖攻擊智能鎖芯片之后,會(huì)造成芯片死機(jī)并重啟,而有的智能鎖默認(rèn)重啟后自動(dòng)開鎖,所以特斯拉線圈能秒開智能鎖。

雖然這個(gè)事件不能代表整個(gè)行業(yè),但卻引起了整個(gè)行業(yè)的轟動(dòng)和恐慌,說明大家對(duì)智能鎖產(chǎn)品的穩(wěn)定性、安全性的關(guān)注度非常高……作為用戶,在購買智能鎖的時(shí)候,千萬不要只看價(jià)格,更要看產(chǎn)品的質(zhì)量。

口說無憑,實(shí)驗(yàn)為證,《好奇實(shí)驗(yàn)室》實(shí)測給大家看。

小黑盒發(fā)貨倉庫實(shí)測

連開三把鎖,總耗時(shí)不到3分鐘,最快的一把只用了5秒

6月22日,寧波鎮(zhèn)海區(qū)的車間里,王海麗同事、李德輝技術(shù)員正忙著給小黑盒打包,每個(gè)盒子配上一張紙制說明書、一個(gè)測試燈泡,填好單子,發(fā)貨。

小黑盒產(chǎn)生的脈沖可以讓燈泡在無電源的情況下發(fā)出亮光。

“發(fā)到全國各地都有,光寧波這個(gè)倉庫,這半個(gè)月就發(fā)出去300多臺(tái)了。”李德輝說。

“基本上都能打開,我們一共試了10把門鎖,都開了。有經(jīng)銷商反饋上來的消息,他代理了6款門鎖,都被黑盒子打開了。”李德輝回答。

李德輝現(xiàn)場搬出三款智能鎖進(jìn)行測試,這三款鎖都是從經(jīng)銷商那里拿到的國產(chǎn)貨。

實(shí)驗(yàn)員現(xiàn)場測試智能鎖。

首先測試的是××斯品牌智能鎖,包含指紋、密碼、磁卡、鑰匙等多種開啟功能,價(jià)格5000多元。

“每個(gè)鎖的點(diǎn)位都不一樣,可能在鎖的上、中、下部分,甚至側(cè)面都有可能。所以需要不斷地挪動(dòng),找到開鎖的位置。”李德輝說。

按這樣的方法,實(shí)驗(yàn)員上下左右不斷移動(dòng),就像掃雷一下。半分鐘后,實(shí)驗(yàn)員換了一臺(tái)小黑盒繼續(xù)實(shí)驗(yàn),突然“唰”一聲,門鎖打開了。開鎖的位置定格在門鎖的刷卡處。耗時(shí)1分鐘。

第二款是×壹品牌智能鎖,價(jià)格是3000多元,同樣是磁卡、指紋、密碼等多種開啟方式。實(shí)驗(yàn)員從上而下慢慢尋找,大約1分鐘時(shí)間,門鎖被打開,開鎖點(diǎn)也是定格在刷卡處。

第三把鎖是普×××智能鎖,價(jià)格1000元左右,功能類似。但實(shí)驗(yàn)員只用了5秒鐘,就打開了這把鎖。

實(shí)驗(yàn)員用自家智能鎖測試

門沒打開,但門鎖死機(jī)了

實(shí)驗(yàn)員的家在杭州城北某小區(qū),2014年交付,智能門鎖是由開發(fā)商統(tǒng)一安裝的,看不到品牌和logo標(biāo)識(shí)。

出乎意料的是,當(dāng)小黑盒剛靠近,門鎖卻一下當(dāng)機(jī)了——被小黑盒攻擊之后,門鎖系統(tǒng)沒有任何反應(yīng),背光不亮了,系統(tǒng)提示音也沒有了,就像是一部沒裝電池的門鎖。任何操作,都打不開門鎖。

最后,實(shí)驗(yàn)員在門鎖的應(yīng)急電源處接了一個(gè)7號(hào)電池,系統(tǒng)又重新啟動(dòng),恢復(fù)正常。

杭州鎖具市場盲測

10款智能鎖打開了2款

最后,實(shí)驗(yàn)員去了杭州的一家五金鎖具市場,隨機(jī)進(jìn)了兩家鎖具專賣店,對(duì)正在銷售的10款門鎖進(jìn)行盲測。

第一款是×花智能鎖,售價(jià)1800元。“運(yùn)氣”比較好,小黑盒靠近鍵盤中間位置時(shí),門鎖就打開了。但接下來一連測試了8款智能鎖,沒有一款可以打開的,它們的表現(xiàn)都一樣——可以觸發(fā)系統(tǒng)背光、語音播報(bào),但就是開不了鎖。

最后打開的一款是×安牌智能鎖,價(jià)格900元。開始只成功了一半——這款鎖的鎖舌是分段式的,要往回縮進(jìn)兩次才能開啟。但被小黑盒攻擊后,鎖舌不斷進(jìn)進(jìn)出出,但就是沒全開。

實(shí)驗(yàn)員不斷給小黑子充電,連續(xù)嘗試將近20次,最后終于打開了這把鎖。

專家實(shí)測后認(rèn)為

最大的漏洞在智能鎖的電機(jī)輸入信號(hào)上

6月23日,蘇州邁瑞微電子有限公司,首席技術(shù)官李揚(yáng)淵接受了《好奇實(shí)驗(yàn)室》的采訪。

首先,李揚(yáng)淵并不認(rèn)同偷工減料是這起事件的主要罪魁禍?zhǔn)住?/p>

永康門博會(huì)之后,李揚(yáng)淵也收到了合作商——寧波×州鎖業(yè)寄來的一部小黑盒,請他對(duì)該品牌旗下的一款智能鎖做測試。

“穩(wěn)壓器和電流過載保護(hù),作用是對(duì)電源系統(tǒng)進(jìn)行優(yōu)化和保護(hù)。我們用線圈開鎖的時(shí)候,可以聽到語音播報(bào):‘已經(jīng)開啟’,這說明智能鎖的整體功能、包括電源是正常的。線圈脈沖并沒有破壞電源系統(tǒng),所以可以推出跟穩(wěn)壓器等沒有關(guān)系。”

其次,李揚(yáng)淵認(rèn),確實(shí)存在“死機(jī)、重啟,導(dǎo)致破解”的可能性。

那么,還有沒有其他可能性呢?

正常地打開智能鎖,需要三個(gè)環(huán)節(jié):

一、輸入,比如是密碼、指紋、人臉識(shí)別等;

二、認(rèn)證,芯片對(duì)輸入信號(hào)進(jìn)行識(shí)別認(rèn)證;

三、執(zhí)行,認(rèn)證無誤,系統(tǒng)發(fā)出指令信號(hào),轉(zhuǎn)動(dòng)電機(jī),打開門鎖。

小黑盒破解智能鎖,不存在信息輸入、識(shí)別認(rèn)證這兩道關(guān),問題出在第三步執(zhí)行上。而智能鎖的最后開啟,是由電機(jī)轉(zhuǎn)動(dòng)帶動(dòng)鎖芯完成的,因此李揚(yáng)淵覺得試驗(yàn)的重點(diǎn)應(yīng)該在電機(jī)的輸入信號(hào)上。

“很可能是小黑盒的脈沖干擾產(chǎn)生電流,經(jīng)過智能鎖內(nèi)部的元器件,產(chǎn)生一種信號(hào),讓系統(tǒng)誤以為是正常指令,觸發(fā)了電機(jī)啟動(dòng)。”

為驗(yàn)證這個(gè)猜想,李揚(yáng)淵拆開一部智能鎖,拔掉了里面的電源,當(dāng)小黑盒再次靠近電路板后,神奇的事情發(fā)生了—

明明沒有電源供電,萬能表上有電壓反應(yīng)了。然后接上電源,再次用小黑盒攻擊測試,此時(shí)鎖開了!也就是說在電磁波的干擾下,出現(xiàn)了電流,電流就像是一個(gè)信號(hào)彈,觸發(fā)電機(jī)驅(qū)動(dòng)芯片,于是鎖開了。

“即使不用小黑盒,只要是會(huì)產(chǎn)生電磁干擾的設(shè)備,都有可能驅(qū)動(dòng)電機(jī)。”

李揚(yáng)淵拿起一臺(tái)普通對(duì)講機(jī),慢慢靠近拔去電源的門鎖,這次真的只用了1秒鐘,秒開!

用對(duì)講機(jī)測試,只要頻率高,同樣可以干擾智能鎖。

全自動(dòng)智能鎖最容易打開

智能鎖的電機(jī)啟動(dòng)方式有兩種:全自動(dòng)、半自動(dòng)。

具體到實(shí)物上,全自動(dòng)智能鎖只要認(rèn)證通過,鎖舌就自動(dòng)退回,門自動(dòng)全開;而半自動(dòng)的,還需要轉(zhuǎn)動(dòng)一下把手,才能打開。

這兩種不同的啟動(dòng)方式,在李揚(yáng)淵看來,破解容易度有很大的區(qū)別。

半自動(dòng)把手型門鎖,有兩根電機(jī)控制線,兩根線需要遇到一個(gè)高低電平差,就像一上一下的心電圖,才算是一個(gè)開鎖信號(hào)。

“這就需要小黑盒找到特定的位置,加上運(yùn)氣成分,才能打開門鎖。”

而全自動(dòng)的門鎖,從內(nèi)部開鎖時(shí)通常使用按鍵開關(guān),一按開鎖。因?yàn)榭紤]到更好的用戶體驗(yàn),按鍵只用按很短的一下。對(duì)干擾器而言,使一條線產(chǎn)生瞬間的電位變化,當(dāng)然比兩條線產(chǎn)生有差別的持續(xù)的電位要容易多了。

沒被小黑盒破解的智能鎖

就真的安全嗎?

一些鎖商在慶幸:“我的鎖沒被小黑盒破解,我的鎖是安全的。”

但李揚(yáng)淵卻不贊同。“首先,小黑盒是開鎖工具,而不是標(biāo)準(zhǔn)檢測工具。它的電量、距離、頻率等因素,都會(huì)影響到開鎖的成功率。

“其次從風(fēng)險(xiǎn)性來講,應(yīng)該是普遍性的,因?yàn)橹绷麟姍C(jī)驅(qū)動(dòng)芯片使用電平來控制是工業(yè)標(biāo)準(zhǔn),全世界的直流電機(jī)驅(qū)動(dòng)電路都是這樣做的。智能鎖被無線干擾打開,不是偷工減料的問題,而是設(shè)計(jì)漏洞。”

A4紙打印的黑白照片

騙過人臉識(shí)別

A4紙打印的黑白照片,實(shí)測居然可以騙過一款智能鎖的人臉識(shí)別系統(tǒng)。整個(gè)采訪中,《好奇實(shí)驗(yàn)室》多次聽到鎖匠們這么說:鎖的功能越多,留出的后門就越多!

在蘇州工業(yè)園的一幢人才公寓里,工程師吳函峰向《好奇實(shí)驗(yàn)室》演示了一款國產(chǎn)智能鎖的人臉識(shí)別系統(tǒng)漏洞。

實(shí)驗(yàn)分三步——首先,把實(shí)驗(yàn)員的臉注冊到系統(tǒng)中。然后,給實(shí)驗(yàn)員拍了一張照片,A4紙黑白打印。最后,用A4紙打印的黑白照片,貼近智能鎖上的人臉識(shí)別探頭。也就1秒,門鎖被打開。

用A4紙打印的黑白照片可以讓智能鎖人臉識(shí)別系統(tǒng)誤判。

實(shí)驗(yàn)員用燈光把樓道照亮,讓攝像頭能夠照清楚黑白照片,捕捉到每一個(gè)細(xì)節(jié)。

結(jié)果,智能鎖人臉識(shí)別還是被騙了。

吳函峰解釋說,被破解的這把智能鎖,上面有三個(gè)探頭,一個(gè)紅外線探頭,用于補(bǔ)光;一個(gè)可見光探頭,讓用戶可以清晰地對(duì)準(zhǔn)攝像頭;最后一個(gè)才是攝像頭,用于拍照采集頭像。

“所以系統(tǒng)采集人臉時(shí),形成的只是一張2D平面圖像,也就相當(dāng)于一張黑白照片。拿黑白照相機(jī)去拍人臉,和直接拍黑白照片,效果是一樣的。”

“但是市面上也會(huì)有假3D來忽悠人,看起來是4個(gè)探頭,但實(shí)際上有兩個(gè)攝像頭是不工作的。”李揚(yáng)淵提醒:辨別真假3D的方法只有一個(gè),遮住一個(gè)攝像頭看看。

3個(gè)探頭的人臉識(shí)別系統(tǒng),安全系數(shù)很低。

“如果遮住一個(gè)攝像頭,還可以解鎖,那就是假3D識(shí)別。”

關(guān)鍵詞: 漏洞 智能鎖 小黑盒

相關(guān)閱讀:
熱點(diǎn)
圖片 圖片