讓手機(jī)“坐電椅”？一群較真兒的人制止了真實(shí)世界的殘酷攻擊文 | 史中

（零）充電器引發(fā)的血案 在美國(guó)曾經(jīng)流行一種死刑的執(zhí)行方式，坐電椅。

2000伏特的高壓電穿過(guò)犯人，十幾秒鐘就會(huì)讓這個(gè)倒霉蛋涼透。 這種刑罰給犯人帶來(lái)怎樣的痛苦不得而知（截止目前，尚未有犯人晚上托夢(mèng)告訴其他人這是什么感受），但那景象和味道卻能給行刑人帶來(lái)一生難以抹去的心理陰影。 能被高壓電摧毀的，不只有碳基生命，還有硅基生命。 一個(gè)不支持快充的設(shè)備，默認(rèn)只能接受5V的充電電壓，這時(shí)候，如果你用一個(gè)快充充電頭（20V的電壓）強(qiáng)行為它充電，這個(gè)設(shè)備就如同“坐了電椅”，光速去世。

就像圖中的這樣。 你可能會(huì)問(wèn)：不對(duì)吧，我用快充充電頭給普通的手機(jī)充過(guò)電，沒(méi)有去世啊！ 沒(méi)錯(cuò)，這是因?yàn)槌潆娖黝I(lǐng)域的大佬早就考慮到了這個(gè)問(wèn)題，當(dāng)快充充電器遇到受電設(shè)備時(shí)，雙方會(huì)進(jìn)行一次簡(jiǎn)單溝通：

充電器：我這邊最高支持20V，你要多少V啊？ 受電設(shè)備：對(duì)不起小兄弟，我是2015年的老手機(jī)了，年輕人的新東西我都接受不了，你就給我標(biāo)準(zhǔn)的5V電壓吧。 充電器：得嘞，那就5V！您慢慢充。

你看，雖然這個(gè)溝通雖然簡(jiǎn)單，但卻很“暖心”。事實(shí)上，這些溝通都是由快充充電頭里內(nèi)置的一系列代碼來(lái)實(shí)現(xiàn)的。

充電器和受電設(shè)備大體就是這么溝通。 有人的地方就有江湖，有代碼的地方就有漏洞。 誰(shuí)能想到，半個(gè)巴掌大的快充充電頭，里面只有幾百行代碼，只有幾Kb存儲(chǔ)空間，卻有可能被黑客改變代碼，從“暖男”秒變“殺手”，向受電設(shè)備發(fā)起大電壓攻擊，直接讓手機(jī)或電腦報(bào)廢。

就在2020年，這個(gè)漏洞被騰訊玄武安全實(shí)驗(yàn)室的技術(shù)宅們發(fā)現(xiàn)了，他們給它起名為“BadPower”（壞電源）。 這里說(shuō)個(gè)小八卦，“Bad”字輩的漏洞，很多都是玄武實(shí)驗(yàn)室命名的。例如實(shí)驗(yàn)室的負(fù)責(zé)人 TK 之前發(fā)現(xiàn)的 BadBarcode（壞條形碼）漏洞，可以用偽造條碼欺騙掃描器，直接導(dǎo)致商戶金錢(qián)損失，整個(gè)行業(yè)折騰了好幾年才基本完成了修復(fù)。 你可能有感覺(jué)了，這類(lèi)漏洞往往不像第一眼看上去那么簡(jiǎn)單，它們背后都有一個(gè)巨大的“盜夢(mèng)空間”，當(dāng)有人抽掉那根頂梁柱時(shí)，整個(gè)世界就開(kāi)始晃動(dòng)。 這被稱為“設(shè)計(jì)類(lèi)安全問(wèn)題”，聽(tīng)上去就挺帶勁的。 于是，我跑到騰訊北京總部，找到了 TK，請(qǐng)他講了講這個(gè)“BadPower”漏洞背后的世界。

我在 JD 上搜索了一下快充充電器，還是有很多品牌的。（圖片僅做展示，并不意味著圖內(nèi)品牌的充電器都存在問(wèn)題。） （一）感覺(jué)哪里有問(wèn)題 2018年春天，TK 坐在辦公室里，他的電腦屏幕里閃爍著一份密密麻麻的技術(shù)文檔。 彼時(shí)，快充技術(shù)剛剛普及，高通、MTK、蘋(píng)果、OPPO 等等好多廠家分別開(kāi)發(fā)出了一套自己的快充標(biāo)準(zhǔn)。一時(shí)間各陣營(yíng)群雄逐鹿，混戰(zhàn)不停。 但這帶來(lái)一個(gè)問(wèn)題：大家的標(biāo)準(zhǔn)不同，A陣營(yíng)的充電器遇見(jiàn)B陣營(yíng)的設(shè)備，雖然理論上都支持快充，但就像一個(gè)說(shuō)日語(yǔ)，一個(gè)說(shuō)西班牙語(yǔ)，他們就是沒(méi)辦法“相認(rèn)”，A陣營(yíng)的充電器只好降到5V給B陣營(yíng)的設(shè)備慢充。 長(zhǎng)此以往，問(wèn)題大大的。 于是，一個(gè)叫做“USB標(biāo)準(zhǔn)化組織”的組織，組織大家討論出了一套“根正苗紅”的快充技術(shù)標(biāo)準(zhǔn)。從那以后，不管你是哪個(gè)陣營(yíng)的，都要給“USB標(biāo)準(zhǔn)化組織”一個(gè)面子，兼容這個(gè)版本的快充標(biāo)準(zhǔn)。 TK 當(dāng)時(shí)看的，正是“USB標(biāo)準(zhǔn)化組織”發(fā)布的快充技術(shù)白皮書(shū)。

最下面兩個(gè)就是標(biāo)準(zhǔn)充電和快充的認(rèn)證標(biāo)志。 可是看著看著，老江湖的直覺(jué)告訴他，哪里不對(duì)。

首先，根據(jù)標(biāo)準(zhǔn)，充電器內(nèi)部代碼不能是寫(xiě)死的，而必須是可編程的。 其次，標(biāo)準(zhǔn)還規(guī)定，充電器出廠之后，要預(yù)留一個(gè)升級(jí)接口。

這就相當(dāng)于房地產(chǎn)開(kāi)發(fā)商把房子賣(mài)給你，但是卻留了一把鑰匙，可以隨時(shí)打開(kāi)你家房門(mén)，給你添置點(diǎn)家具什么的。 當(dāng)然，在現(xiàn)實(shí)生活中，法律是不會(huì)允許房地產(chǎn)商預(yù)留這樣的鑰匙的。但是在智能硬件領(lǐng)域，這卻是一個(gè)可接受的標(biāo)準(zhǔn)操作。 TK 給我講了一個(gè)例子：

蘋(píng)果的耳機(jī)剛出來(lái)的時(shí)候，因?yàn)榻翟胄阅芴茫瑫?huì)意外導(dǎo)致一些人頭疼。蘋(píng)果于是緊急升級(jí)耳機(jī)固件，把降噪性能稍微降下來(lái)一點(diǎn)兒。但是耳機(jī)已經(jīng)賣(mài)出去那么多，不可能一個(gè)個(gè)召回修改。所以，這個(gè)升級(jí)就是通過(guò)預(yù)留的升級(jí)接口下發(fā)的。 當(dāng)耳機(jī)連接 iPhone 的時(shí)候，手機(jī)就把升級(jí)代碼傳送給了耳機(jī)。當(dāng)然這一切都是靜默完成的，普通用戶并沒(méi)有感覺(jué)。

你看，一個(gè)產(chǎn)品出街，鬼知道會(huì)碰到什么幺蛾子問(wèn)題，如此說(shuō)來(lái)，在銷(xiāo)售的硬件上預(yù)留一個(gè)升級(jí)接口，好像也合情合理。 但正是這個(gè)機(jī)制的設(shè)計(jì)，讓 TK 感覺(jué)“有機(jī)可乘”，當(dāng)時(shí)他腦海里出現(xiàn)了一個(gè)“火刑攻擊模型”。

布魯諾：？？？

首先，想辦法搞出一段攻擊代碼，植入目標(biāo)充電器。 然后，在充電器連接手機(jī)的時(shí)候，讓攻擊代碼流入手機(jī)。 再然后，攻擊代碼可以破壞手機(jī)充電保護(hù)機(jī)制，讓手機(jī)在已經(jīng)充滿電的情況下繼續(xù)充電，直到電池燃爆。 最后，這個(gè)攻擊代碼還可以在不同的手機(jī)和快充充電器混插的時(shí)候交叉?zhèn)鞑ィ拖癜滩∫粯印?/p>

給你畫(huà)張圖方便理解。（字太小的話就點(diǎn)雞放大） 如果真的能達(dá)成這樣的攻擊路徑，那么黑客就有可能制造出一種病毒感染全球大多數(shù)快充設(shè)備，甚至能讓全世界的手機(jī)在同一時(shí)刻燒毀，想想都讓人毛骨悚然。 不過(guò)，目前為止這一切都只是理論中的推演，這其中每一步都有可能卡住，具體能不能做到，還要事實(shí)來(lái)驗(yàn)證。 玄武實(shí)驗(yàn)室只有不到30人，人力實(shí)在有限，當(dāng)時(shí)絕大多數(shù)人又都撲在另一個(gè)漏洞——用殘留的指紋痕跡解鎖手機(jī)——上（詳情見(jiàn)幺哥的《一張紙秒破指紋解鎖》），所以真正開(kāi)始研究快充充電器的問(wèn)題，已經(jīng)到了2019年的春天。 不過(guò)，即使是在玄武實(shí)驗(yàn)室內(nèi)部，這個(gè)研究都是絕密的，只有包括 TK 在內(nèi)的六個(gè)人知道，頗有幾分“曼哈頓計(jì)劃”的意思。

因?yàn)槲覀冊(cè)?jīng)發(fā)現(xiàn)了很多影響行業(yè)的安全問(wèn)題，鍛煉出了敏感性。這個(gè)漏洞的危害可能非常大，把它限制在實(shí)驗(yàn)室的范圍內(nèi)，一切都能控制，一旦擴(kuò)散，后果就無(wú)法預(yù)料了。所以我們非常謹(jǐn)慎。

TK 換上了一副嚴(yán)肅臉。 就這樣，TK 指派玄武實(shí)驗(yàn)室研究員馬卓帶領(lǐng)著四人小分隊(duì)開(kāi)始了長(zhǎng)達(dá)一年的“地下研究工作”。 （二）成為充電專(zhuān)家 這件事，比想象中更艱難。 原因在于：快充這個(gè)領(lǐng)域極其封閉，從網(wǎng)上根本找不到相關(guān)的技術(shù)文檔。 手機(jī)究竟怎么和快充充電器建立連接？他們倆用什么語(yǔ)言溝通所需要的電壓和電流？這些通通不知道。 你可能會(huì)說(shuō)，找個(gè)做充電器的廠家問(wèn)一問(wèn)不就行了？ 這里有一個(gè)行業(yè)知識(shí)：大多數(shù)充電器廠商只負(fù)責(zé)最后的整合制造，主體方案都是從上游的方案集成商購(gòu)買(mǎi)的。而你去問(wèn)一個(gè)充電器制造商他們的方案是從哪里買(mǎi)的，人家能告訴你才見(jiàn)了鬼。 感覺(jué)整個(gè)行業(yè)的人，無(wú)論是快充芯片生產(chǎn)商、方案集成商、充電器生產(chǎn)商還是受電模組生產(chǎn)商都“躲在暗處”，像賣(mài)驢一樣在袖口里就把一切都商量好，悄悄地就把這些東西給生產(chǎn)出來(lái)了。

進(jìn)入這個(gè)領(lǐng)域，就像是摸進(jìn)了一棟漆黑的房子，你不知道里面的陳設(shè)和結(jié)構(gòu)如何，也不知道里面究竟有多大，甚至連房子里面是人是鬼都不知道。 這可咋辦？研究員們只好先硬著頭皮先從市場(chǎng)上買(mǎi)回來(lái)幾個(gè)銷(xiāo)量不錯(cuò)的充電頭，看著桌子上這幾個(gè)“硬核桃”發(fā)楞。 要我說(shuō)，一個(gè)頂級(jí)的安全研究員，得跟頂級(jí)的特工不相上下。 你看詹姆斯邦德，無(wú)論是汽車(chē)還是飛機(jī)坦克，連航空母艦他也是必須上去就能開(kāi)，強(qiáng)烈懷疑他的駕照是宇宙交管局給他發(fā)的。 玄武實(shí)驗(yàn)室這群技術(shù)宅也不含糊，他們決定，就用死磕的方法，掰掉充電器外殼，然后直接把芯片給焊下來(lái)，引腳接到自己開(kāi)發(fā)的調(diào)試設(shè)備上，一頓逆向分析。 就這樣，幾個(gè)月過(guò)去了，他們用緩慢但卻有效的方式把“快充”這間黑屋子的運(yùn)作原理摸得七七八八。 這就像二戰(zhàn)時(shí)盟軍破譯了德國(guó)的密電碼，別提多高興了：充電頭向手機(jī)發(fā)出一串信號(hào)，研究員就知道，這是在建立快充連接；手機(jī)又向充電頭發(fā)出一串信號(hào)，研究員也能秒懂，這是在協(xié)商電壓。

不是吹牛，現(xiàn)在我們團(tuán)隊(duì)的幾位同學(xué)對(duì)于快充的信號(hào)涵義和運(yùn)作機(jī)制，比大多數(shù)充電器廠商理解得都要深刻。

TK 說(shuō)。 可是，充電器原理研究明白了，問(wèn)題也來(lái)了。 就在2019年夏天，馬卓他們四個(gè)垂頭喪氣地走進(jìn) TK 的辦公室：“老板，失敗了。。。” 原來(lái)，隨著研究員對(duì)快充技術(shù)越來(lái)越了解，甚至可以任意修改固件，但他們確信 TK 之前設(shè)想的那個(gè)攻擊模型是無(wú)法達(dá)成的。 我們來(lái)回憶一下最初 TK 設(shè)計(jì)的“火刑攻擊模型”，其中有兩個(gè)關(guān)鍵難點(diǎn)：第一，攻擊代碼要能破壞掉電池的充電保護(hù)機(jī)制；第二，攻擊代碼要能在手機(jī)和充電器之間來(lái)回橫跳傳播。 這兩個(gè)關(guān)鍵點(diǎn)在現(xiàn)有的條件下都是無(wú)法突破的。

首先，無(wú)論是電腦還是手機(jī)，起碼有三層機(jī)制在保護(hù)電池不過(guò)熱燃燒，有的甚至是純硬件機(jī)制，這個(gè)基本沒(méi)有可能繞過(guò)。這也就是說(shuō)：燒電池做不到。 其次，一般的快充充電器里能用來(lái)存儲(chǔ)的空間太小了，只有幾Kb，完全放不下能自我傳播的那種高級(jí)的攻擊代碼。而且被充電的設(shè)備模塊邏輯也很簡(jiǎn)單，難以被控制。這也就是說(shuō)，讓攻擊代碼在充電器和手機(jī)之間橫跳也做不到。

聽(tīng)完了同學(xué)們的描述，TK 猛然問(wèn)了個(gè)問(wèn)題：“既然已經(jīng)能修改固件，應(yīng)該就可以控制輸出的電壓和電流了吧？” 同學(xué)們回答：“這。。。應(yīng)該是可以的。” “那你們已經(jīng)成功了啊！”TK笑了。 （三）柳暗花明 這世界上真愛(ài)不好找，攻擊模型可有的是，尤其是“猥瑣流”的黑客總能想出各種千奇百怪的攻擊模型。（有興趣的話，可以回顧《這兩個(gè)黑客太猥瑣了》） 這不，TK 一秒鐘就又想到了另一種攻擊模式：

1、通過(guò)手機(jī)把攻擊代碼傳輸進(jìn)快充充電器里。 2、被感染的充電器只做一件事，瞬間輸出最強(qiáng)的電壓，擊穿受電設(shè)備的芯片，讓它報(bào)廢。

這么一來(lái)，原來(lái)電池著火的“火刑”就變成了高壓電擊穿芯片的“電刑”，反正不把受電設(shè)備弄死，這群技術(shù)宅是不會(huì)死心的。。。 同事們根據(jù)這個(gè)思路一試，發(fā)現(xiàn)果然走得通。 于是，一套詳盡的攻擊方式被火速構(gòu)建起來(lái)。 具體來(lái)說(shuō)，攻擊分這么幾種情形： 1、面對(duì)非快充設(shè)備。 前面說(shuō)過(guò)，正常的快充充電頭會(huì)詢問(wèn)設(shè)備，你要的電壓電流是多少。如果受電設(shè)備回答是5V，或者是不回答（一般的非快充設(shè)備根本沒(méi)有“回復(fù)”充電頭的能力），都會(huì)統(tǒng)一按照5V去輸出。 這下可好，前面已經(jīng)商量好了5V，結(jié)果充電頭給出去的真實(shí)電壓直接就是20V（一般快充充電器所能達(dá)到的最高電圧），結(jié)果設(shè)備就會(huì)直接被擊毀，甚至芯片都有可能燃燒。

2、面對(duì)傻白甜的快充設(shè)備 同樣，在接通充電器后，充電器和受電設(shè)備會(huì)先溝通一個(gè)充電電壓，例如是12V。這時(shí)，充電頭里的惡意代碼故技重施，讓實(shí)際輸出的電流仍然是最高的20V。 由于這里超出的電壓并不像第一種情況那么懸殊，所以這里給芯片造成的損失是未知的。有很大可能被燒毀，也有一定可能可以扛一陣，但是芯片壽命會(huì)大大縮短。 “就像有的人挨一拳就倒了，有的人被打一個(gè)小時(shí)才倒，這個(gè)看體質(zhì)。”TK笑。

手機(jī)的“遺照” 3、面對(duì)雞賊的設(shè)備（快充不快充都包含） 不得不說(shuō)，有一些硬件還是做了一些保護(hù)的。他們首先跟充電器協(xié)商一個(gè)充電電壓，但是也會(huì)回過(guò)頭來(lái)驗(yàn)證你有沒(méi)有說(shuō)謊。一旦判斷不對(duì)勁，就馬上斷開(kāi)連接。這時(shí)，這個(gè)充電頭就被拉黑了，再也無(wú)法為設(shè)備充電了。 面對(duì)這種雞賊的設(shè)備，研究員的反制招數(shù)就是：“天下武功，唯快不破。” 他們會(huì)提前判斷這個(gè)設(shè)備多久會(huì)進(jìn)行一次電壓驗(yàn)證，只要搶在對(duì)方驗(yàn)證之前迅雷不及掩耳直接把高壓電給安排上，就妥了。。。 研究員用這個(gè)套路，成功擊毀了一部筆記本電腦。

就是這臺(tái)電腦，為科研獻(xiàn)出了生命，音容猶在。 后來(lái) TK 他們?cè)诮o筆記本電腦驗(yàn)尸的時(shí)候發(fā)現(xiàn)，被燒壞的不只是充電模塊，連主板上的核心芯片都被燒毀了。 結(jié)論有二：

第一、高壓電不長(zhǎng)眼，電到哪塊芯片連薛定諤都不知道。 第二、做個(gè)安全研究是真費(fèi)錢(qián)啊，一個(gè)手機(jī)一個(gè)電腦地往里扔。

說(shuō)到這，你是不是感覺(jué)這幫人有點(diǎn)瘋狂博士的意思？ TK 告訴我，為了研究這個(gè)課題，他們還專(zhuān)門(mén)買(mǎi)了很多“護(hù)具”，就差給每個(gè)人都上個(gè)意外險(xiǎn)了。 例如，他們一開(kāi)始就買(mǎi)了一個(gè)準(zhǔn)防彈級(jí)別的聚碳酸酯圓筒，把要攻擊的設(shè)備放在里面，然后跑開(kāi)十米遠(yuǎn)，躲在桌子后面按動(dòng)“攻擊按鈕”。這感覺(jué)怎么看都有點(diǎn)像微縮版的核武器試爆。

后來(lái)研究員發(fā)現(xiàn)，好像也沒(méi)危險(xiǎn)到那個(gè)地步，于是漸漸膽大了起來(lái)。 一個(gè)有些驚險(xiǎn)的事情也就此發(fā)生了。 有一次，他們用20V電壓測(cè)試攻擊了一個(gè)充電寶（充電寶作為受電設(shè)備），結(jié)果充電寶的燈一下子就滅了。這意味著芯片被燒毀了。大功告成，團(tuán)隊(duì)就去吃飯了。 沒(méi)想到，隔了一會(huì)兒回來(lái)，有一位同學(xué)無(wú)意中想挪動(dòng)一下那個(gè)充電寶，結(jié)果他的手“嗖”地一下就縮回來(lái)了，原來(lái)充電寶已經(jīng)非常燙，連塑料外殼都軟了。

這是我們完全沒(méi)有料到的結(jié)果。一般的想法都是芯片燒毀后各個(gè)引腳之間就都斷路了，但在真實(shí)的物理世界，高壓電還可以讓一些本來(lái)不連接的電路連通起來(lái)。 這個(gè)充電寶就是被電擊連通了某條線路，導(dǎo)致內(nèi)部電池的能量釋放了出來(lái)。

TK 說(shuō)。 從那以后，團(tuán)隊(duì)買(mǎi)了一只超大號(hào)的鐵桶，一個(gè)人都能蹲進(jìn)去的那種，凡是測(cè)試過(guò)的設(shè)備，不論什么結(jié)果，都先扔在里面，安全防火，人人有責(zé)。。。

就這樣，團(tuán)隊(duì)陸陸續(xù)續(xù)從市面上幾百款快充充電頭、快充充電寶、車(chē)載快充充電器里買(mǎi)來(lái)了35個(gè)設(shè)備，實(shí)錘發(fā)現(xiàn)問(wèn)題的就有18款，多于一半兒。當(dāng)然因?yàn)檫@些充電器都是頭部品牌，所以如果按照銷(xiāo)量占比的話，會(huì)占到市面上絕大多數(shù)。 這里要提醒你注意，說(shuō)到充電器生產(chǎn)商，它可能不僅生產(chǎn)充電器，它還有可能生產(chǎn)手機(jī)。所以，你正在使用的手機(jī)附贈(zèng)的快充充電器也很可能是有問(wèn)題的。 較真的淺友可能會(huì)問(wèn)，那不還有17款做得很好么？它們?yōu)槭裁床皇苓@個(gè) BadPower 攻擊的影響？ 我就喜歡較真的你，因?yàn)槲乙彩沁@么問(wèn) TK 的。 不過(guò)，結(jié)論有點(diǎn)荒誕，剩下的這些廠商，所選用的解決方案商在設(shè)計(jì)的時(shí)候沒(méi)按照套路出牌，陰差陽(yáng)錯(cuò)地關(guān)閉了調(diào)試端口，或者芯片由于一些無(wú)厘頭的原因，被搞得無(wú)法執(zhí)行攻擊命令。就好像一個(gè)聽(tīng)力障礙者沒(méi)辦法感受到別人惡語(yǔ)相向那樣。。。 總之，客觀上的結(jié)果是，他們無(wú)法被 BadPower 攻擊。 從攻擊者的角度來(lái)看，這就好像一個(gè)開(kāi)鎖專(zhuān)家遇到了一個(gè)把鐵門(mén)焊死的對(duì)手，再厲害的開(kāi)鎖專(zhuān)家也沒(méi)辦法徒手拆電焊，還是作罷。 不過(guò)，到目前為止，既有的信息其實(shí)已經(jīng)暴露了非常大的攻擊面。 注意，此時(shí)玄武實(shí)驗(yàn)室在實(shí)踐上可以做到的最強(qiáng)攻擊如下：選定一臺(tái)目標(biāo)手機(jī)，先遠(yuǎn)程入侵這部手機(jī)，再利用手機(jī)向快充充電器下發(fā)攻擊代碼，之后，這個(gè)充電器就能電毀它充電的幾乎所有設(shè)備。 于是，2020年初，玄武實(shí)驗(yàn)室決定把這個(gè)問(wèn)題的詳情告知相關(guān)部門(mén)——CNVD（國(guó)家信息安全漏洞共享平臺(tái)）。 CNVD 立刻把問(wèn)題轉(zhuǎn)達(dá)給所有相關(guān)的充電器生產(chǎn)廠家。 在預(yù)估大多數(shù)廠家都完成相關(guān)修復(fù)工作后，2020年7月，玄武實(shí)驗(yàn)室選擇對(duì)外公布 BadPower 的消息，提醒電視機(jī)前的朋友們多多注意。（玄武并沒(méi)有公開(kāi)具體攻擊技術(shù)，所以黑客無(wú)法根據(jù)現(xiàn)有信息進(jìn)行攻擊） 玄武實(shí)驗(yàn)室這幫技術(shù)宅本來(lái)準(zhǔn)備拯救世界以后歸隱山林，然而，后續(xù)的事情卻并沒(méi)完全向 TK 他們預(yù)計(jì)的那樣發(fā)展。。。

有國(guó)外媒體報(bào)道 BadPower 時(shí)，還做了一個(gè)頗為夸張的宣傳圖，給你感受一下。 （四）不能做“無(wú)害假設(shè)” 一些頭部的充電器廠家從 CNVD 得到了 BadPower 漏洞詳情，第一時(shí)間就進(jìn)行了修復(fù)。 他們的修復(fù)方法分為兩類(lèi)：

第一類(lèi)，一些廠商對(duì)手機(jī)和充電器之間的通信做強(qiáng)驗(yàn)證，保證非法代碼沒(méi)辦法進(jìn)入充電器。 第二類(lèi)，一些廠商干脆關(guān)閉充電器的升級(jí)端口，等研究明白再在下一代產(chǎn)品中改進(jìn)。

“采用第一類(lèi)修復(fù)更好一些，‘可編程’畢竟還是個(gè)趨勢(shì)嘛，一堵了之不是長(zhǎng)久之計(jì)。”TK說(shuō)。 但是，除了屈指可數(shù)的頭部廠商，剩下八成的廠商態(tài)度卻不容樂(lè)觀。 2020年9月，TK 他們假扮客戶，肉身探訪了一些充電芯片廠商，詢問(wèn)他們知不知道有個(gè)“很事兒”的團(tuán)隊(duì)研究出了快充充電器的漏洞。 得到的回答分三類(lèi)：

1、這個(gè)團(tuán)隊(duì)估計(jì)是造假了，弄了個(gè)視頻嘩眾取寵。2、這可能是下游充電器生產(chǎn)廠商使用不當(dāng)，跟我們芯片沒(méi)關(guān)系。3、知道這件事兒，但是沒(méi)關(guān)系，你以為真的有人來(lái)攻擊充電器嗎？

其實(shí)我覺(jué)得，這里面除了第一種回答有點(diǎn)不厚道以外，另外兩種態(tài)度并不算離譜。畢竟這年頭做生意都不容易，芯片模組的利潤(rùn)薄，如果修改代碼，還要額外的技術(shù)成本。 但是 TK 完全不這么認(rèn)為：

工業(yè)控制設(shè)備，以前所有人都不相信它們還會(huì)感染病毒。可是2010年的時(shí)候人們發(fā)現(xiàn)了震網(wǎng)病毒，這個(gè)時(shí)候，美國(guó)已經(jīng)利用震網(wǎng)病毒攻擊伊朗核設(shè)施好幾年了，這直接拖慢了伊朗的核計(jì)劃。一個(gè)攻擊，只要理論上存在可能，就會(huì)有人打它的主意。 攻擊可能正在發(fā)生，唯一的問(wèn)題就是你還不知道。 未來(lái)也許每個(gè)人都有快充充電器，那時(shí)候，對(duì)這些設(shè)備的攻擊方法也許還會(huì)進(jìn)步，造成大規(guī)模攻擊的可能性完全存在。如果拖到那個(gè)時(shí)候整個(gè)行業(yè)再回過(guò)頭來(lái)收拾攤子，那成本就非常大了。

震網(wǎng)病毒經(jīng)過(guò)幾層設(shè)備轉(zhuǎn)跳進(jìn)入相關(guān)設(shè)施。

伊朗時(shí)任總統(tǒng)內(nèi)賈德視察核設(shè)施時(shí)，已經(jīng)可以從對(duì)面的屏幕上看到紅點(diǎn)，推測(cè)這是被病毒摧毀的離心機(jī)。 其實(shí)，TK 所說(shuō)的邏輯，還有一個(gè)例證。 那就是他在2015年發(fā)現(xiàn)的 BadBarcode 漏洞，攻擊掃碼器可以盜刷支付金。當(dāng)時(shí)絕大多數(shù)人還處在出門(mén)帶錢(qián)包的現(xiàn)金社會(huì)，人們恐怕難以想到，僅僅幾年后，掃碼支付就會(huì)在中國(guó)爆炸式地普及，成為叔叔阿姨日常買(mǎi)菜的操作。 TK 告訴我，因?yàn)榭吹搅藛?wèn)題，騰訊支付從2015年就開(kāi)始注意掃碼支付環(huán)節(jié)的漏洞，所有微信支付所采購(gòu)的掃碼器型號(hào)都要經(jīng)過(guò)玄武實(shí)驗(yàn)室的檢測(cè)才行。（下次出去吃飯你可以拿起飯店的掃碼器研究一下，2019年以后微信支付采購(gòu)的掃碼器上會(huì)印有玄武實(shí)驗(yàn)室的認(rèn)證 LOGO） 這些拯救世界的事兒，都讓他頗為驕傲。雖然他沒(méi)披斗篷，還穿著拖鞋。

TK 手上拿著的，就是他們最初用來(lái)探索充電原理的“秘密武器”。 （五）較真兒的人 說(shuō)到玄武實(shí)驗(yàn)室的認(rèn)證，TK 還給我講了一個(gè)小故事。 當(dāng)年發(fā)布 BadBarcode 漏洞之后，有一家掃碼器廠商的 CEO（首席執(zhí)行官）帶著 COO（首席運(yùn)營(yíng)官）直接殺到了玄武的辦公室，把 TK 嚇一跳。 問(wèn)清楚才知道，他們的掃碼設(shè)備行業(yè)地位很高，而且很快就要買(mǎi)到海外，所以請(qǐng)這個(gè)漏洞的發(fā)現(xiàn)者玄武實(shí)驗(yàn)室對(duì)設(shè)備的安全性進(jìn)行一個(gè)鑒定，這樣挑剔的老外也就無(wú)話可說(shuō)了。 玄武實(shí)驗(yàn)室欣然接受，這就是他們第一次為別人做認(rèn)證。 結(jié)果，這家企業(yè)直接把玄武實(shí)驗(yàn)室的認(rèn)證 LOGO 給掛到了官網(wǎng)首頁(yè)上，還是挺拉風(fēng)的。 而到了這一次，玄武實(shí)驗(yàn)室發(fā)公布了 BadPower 漏洞，又有好多人通過(guò)私下關(guān)系找到 TK 和實(shí)驗(yàn)室其他成員，詢問(wèn)他們到底測(cè)試了哪一款，買(mǎi)哪個(gè)牌子的充電器是安全的。 沒(méi)辦法，TK 他們又想到了做認(rèn)證的方式。 此時(shí)此刻，他們就在給一些充電器做認(rèn)證測(cè)試，估計(jì)過(guò)幾天你就能買(mǎi)到修復(fù)了 BadPower 漏洞的充電器了。這里中哥本想把這些已經(jīng)通過(guò)認(rèn)證測(cè)試的充電器品牌公布出來(lái)，但是征求了廠家的意見(jiàn)，他們還是靦腆地表示：下次。 “測(cè)試認(rèn)證會(huì)成為你們的商業(yè)模式嗎？”我問(wèn) TK。

目前為止（2020年9月），所有的測(cè)試認(rèn)證都是免費(fèi)的，如果我們做得過(guò)來(lái)，會(huì)一直免費(fèi)下去。現(xiàn)在看起來(lái)相關(guān)工作量還不算太大，沒(méi)有影響到我們?nèi)粘Ｑ芯抗ぷ鳌?/p>

TK 笑。 講真，玄武實(shí)驗(yàn)室在很多不理解他們的人眼里確實(shí)挺“較真兒”的。動(dòng)不動(dòng)就“雞蛋里挑骨頭”找到一個(gè)行業(yè)的設(shè)計(jì)類(lèi)問(wèn)題，搞一個(gè)大新聞，攪得這一行“雞犬不寧”。 但從另一個(gè)角度講，世界上又不能缺少這么“較真兒”的人。

一個(gè)普通的漏洞，就好比按照?qǐng)D紙施工的工人一不留神干錯(cuò)了；而設(shè)計(jì)類(lèi)問(wèn)題，是圖紙從一開(kāi)始就畫(huà)錯(cuò)了，影響面是行業(yè)性的。 而畫(huà)圖紙的人，肯定是那一行頂尖的人物，顯然他們犯錯(cuò)的概率會(huì)更小。但也正因?yàn)槿绱耍@些設(shè)計(jì)類(lèi)問(wèn)題一旦發(fā)現(xiàn)就更加猝不及防。我們就是想做最先發(fā)現(xiàn)這些問(wèn)題的人。越早發(fā)現(xiàn)，修復(fù)的成本就越小。

TK 如是自白。 這倒讓我想起了一個(gè)故事。 19世紀(jì)英國(guó)霍亂縱橫，原因就是廢水污染飲用水。 倫敦排水系統(tǒng)設(shè)計(jì)師巴瑟杰在巨大的當(dāng)局壓力下，仍然堅(jiān)持他龐大而前瞻的下水道改造計(jì)劃。這些看不見(jiàn)的工程綿延六年才基本完工，耗資巨大，又幾經(jīng)修改。百年間它究竟從瘟疫中救起來(lái)多少人，成為了一個(gè)無(wú)法計(jì)算的數(shù)目。

多年后，人們回憶往事，都會(huì)想起這句話：下水道是一個(gè)城市的良心。 而在我看來(lái)，玄武實(shí)驗(yàn)室這些較真的人，大概也和巴瑟杰相似。我想起來(lái) TK 曾用了很久的一個(gè)簽名：爾曹身與名俱滅，不廢江河萬(wàn)古流。 值得慶幸的是，人的功過(guò)，從來(lái)都是由后人評(píng)說(shuō)。

本文轉(zhuǎn)載自微信公眾號(hào)“淺黑科技”

原文標(biāo)題：手機(jī)用快充真的會(huì)爆炸，5V1A 也不安全...

文章出處：【微信公眾號(hào)：哎咆科技】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。