想到标准黑客工具包，软件漏洞和恶意软件就会进入你的脑海。但两名研究员正在测试一类完全不同的工具：挥一挥手就能侵入设备的物理工具。
 

　　最近的REcon计算机安全大会上，红气球安全公司创始人崔昂，研究科学家里克·豪斯利，展示了黑进处理器芯片的一种新方法——用电磁脉冲在硬件中产生特定短时脉冲波形干扰。通过在精确的时间间隔干扰正常活动，该技术可令防止处理器运行不可信代码的安全启动( Secure Boot )保护失效。

　　研究人员几十年来多次实验过“缺陷注入攻击”——引发关键故障，触发可利用异常计算机行为的攻击方式。但这些攻击，通常都需要物理接触到目标的计算机部件。

　　崔昂称：“该技术的优势在于，它在物理上不是侵入式的。你不用接触到设备，也不会留下任何物理痕迹。在电磁脉冲阶段没有数据交换，所以永远不会被防火墙拦到。”

　　不安全启动

　　红气球专精于物联网入侵防御，可将之看做IoT杀毒软件。但该公司在将自身安全工具植入受安全启动保护的IoT设备上时，遇到了麻烦。红气球的产品不破坏该保护措施;该公司与供应商合作，让自身软件兼容。但此两难困境让崔昂和豪斯利，对缺陷注入攻击是否能规避IoT设备安全启动的理论性问题，产生了巨大兴趣。

　　他们开始在思科8861网络电话这个之前没能成功安装他们安全产品的设备上进行实验。(崔昂有黑进思科电话的经验。)两位研究员发现，如果他们在设备启动时，在正确的时机，以带电导线触碰电话的闪存，他们就能造成小故障停止启动过程。然后，电话弹出思科常用来调试的命令行界面。正常情况下，消费者是不应该看到这个调试命令行窗口的。

　　崔昂和豪斯利还在该电话处理器的信任域安全方案中发现了漏洞，让他们可以在本应受保护的处理器内存中写入代码。(他们在2016年4月将这些漏洞报告给了思科。)一旦在启动阶段获取到这个故障排除门户，研究人员就能在处理器受保护区域，加载并执行他们自己的代码，重写安全启动。

　　不可见触碰

　　手边有根带电导线就能进行复杂的黑客活动，破解网络电话设备。但崔昂和豪斯利想将该攻击再推进一步，并意识到，时机掐准的电磁脉冲(EMP)冲击波，也能制造同样的故障。他们可以完全不碰到电话，就实现上述整个黑客行动。

　　实验室级电磁(EM)脉冲设备需要数十万美元，所以，研究员们用一台3D打印机和现成组件，打造了一套自己的电磁脉冲系统，仅花了约350美元。他们计划发布该自制系统设置的开源原理图，以便其他研究人员也能使用。

　　最终，崔昂和豪斯利找到了触发所需故障的精确时间点和脉冲电压——在启动4.62秒时对电话RAM施以300伏脉冲。激发出调试门户后，他们就能用电话的控制台端口——电话背面的辅助端口，在5秒钟内载入并运行他们的安全启动复写协议。

　　圣埃蒂安国立高等矿业学校硬件安全研究员让-马克思·迪泰特里说：“该攻击的原理很精妙。找种办法绕过时空解析问题总是那么高效。”

　　目前，该系统可距离电话机3毫米左右发送脉冲，所以，尽管不需要物理接触，却仍需要相当接近。但是，攻击者可拿着微型电磁脉冲产生器在设备旁轻轻一挥，就引发该关键故障。这可比打开电话戳跟导线进去要隐蔽多了。

　　硬软件安全测试公司 Riscure North America 首席技术官贾斯帕·范·伍登伯格说：“任一硬件攻击，但凡需要攻击者亲自出现，就已经是个巨大的障碍了。不过，这不失为一个不错的概念验证，表明只要你不注意此类攻击，真实发生并非不可能。”

　　EMP掀翻的是什么

　　该攻击难以实现，有部分原因要归功于它针对的博通多核 1Ghz ARM 处理器。现代处理器晶体管封装密集，时钟速度高，难以快速释放电磁脉冲，也很难在不产生连带伤害的情况下精确影响芯片上特定过程。

　　但是，若将设备内部互联组件(比如处理器、闪存和RAM)视作计算机网络，研究人员便能创建更像是网络黑客活动一样的缺陷注入策略——攻击系统最弱环节以侵入真实目标，本案例中就是那强大的处理器了。

　　我们想看看电磁脉冲的二阶效应，因为它不仅影响单个机器，而是能影响到相互倚赖组件组成的整个复杂网络，让我们可以绕过传统电磁缺陷注入的限制，用电磁脉冲可预见地改变计算机运算的方式。

　　随着“电磁缺陷注入”攻击方法变得更加健壮，保护组件不受非侵入式物理攻击也就显得更加重要了。一些超安全设备已经包含了此类防御，因为进一步精炼改良将不止应用到风险IoT设备上，全服务计算机上也将铺开。“由于其实施的相对简单性，此类攻击可能会是灾难性的。”

　　虽然崔昂和豪斯利的研究严格按照概念验证的形式呈现，但他们警告道：其他组织可能拥有远比学术界更强力的方法。

　　“我不认为我们的研究是最深入的那个。我们只是在业余时间作为副项目来做。如果有人投入大量资源，他们肯定比我们做得深远。”

(责任编辑：宋编辑)