原創 史中 淺黑科技 淺黑科技 收錄於話題#人物專訪42#史中精選46

淺友們好~我是史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事，不妨加微信（微訊號：shizhongmax）告訴我。

讓手機“坐電椅”？

一群較真兒的人制止了真實世界的殘酷攻擊

文 | 史中

（零）充電器引發的血案

在美國曾經流行一種死刑的執行方式，坐電椅。

2000伏特的高壓電穿過犯人，十幾秒鐘就會讓這個倒黴蛋涼透。

這種刑罰給犯人帶來怎樣的痛苦不得而知（截止目前，尚未有犯人晚上託夢告訴其他人這是什麼感受），但那景象和味道卻能給行刑人帶來一生難以抹去的心理陰影。

能被高壓電摧毀的，不只有碳基生命，還有矽基生命。

一個不支援快充的裝置，預設只能接受5V的充電電壓，這時候，如果你用一個快充充電頭（20V的電壓）強行為它充電，這個裝置就如同“坐了電椅”，光速去世。

就像圖中的這樣。

你可能會問：不對吧，我用快充充電頭給普通的手機充過電，沒有去世啊！

沒錯，這是因為充電器領域的大佬早就考慮到了這個問題，當快充充電器遇到受電裝置時，雙方會進行一次簡單溝通：

充電器：我這邊最高支援20V，你要多少V啊？

受電裝置：對不起小兄弟，我是2015年的老手機了，年輕人的新東西我都接受不了，你就給我標準的5V電壓吧。

充電器：得嘞，那就5V！您慢慢充。

你看，雖然這個溝通雖然簡單，但卻很“暖心”。事實上，這些溝通都是由快充充電頭裡內建的一系列程式碼來實現的。

充電器和受電裝置大體就是這麼溝通。

有人的地方就有江湖，有程式碼的地方就有漏洞。

誰能想到，半個巴掌大的快充充電頭，裡面只有幾百行程式碼，只有幾Kb儲存空間，卻有可能被駭客改變程式碼，從“暖男”秒變“殺手”，向受電裝置發起大電壓攻擊，直接讓手機或電腦報廢。

就在2020年，這個漏洞被騰訊玄武安全實驗室的技術宅們發現了，他們給它起名為“BadPower”（壞電源）。

這裡說個小八卦，“Bad”字輩的漏洞，很多都是玄武實驗室命名的。例如實驗室的負責人 TK 之前發現的 BadBarcode（壞條形碼）漏洞，可以用偽造條碼欺騙掃描器，直接導致商戶金錢損失，整個行業折騰了好幾年才基本完成了修復。

你可能有感覺了，這類漏洞往往不像第一眼看上去那麼簡單，它們背後都有一個巨大的“盜夢空間”，當有人抽掉那根頂樑柱時，整個世界就開始晃動。

這被稱為“設計類安全問題”，聽上去就挺帶勁的。

於是，我跑到騰訊北京總部，找到了 TK，請他講了講這個“BadPower”漏洞背後的世界。

我在 JD 上搜索了一下快充充電器，還是有很多品牌的。（圖片僅做展示，並不意味著圖內品牌的充電器都存在問題。）

（一）感覺哪裡有問題

2018年春天，TK 坐在辦公室裡，他的電腦螢幕裡閃爍著一份密密麻麻的技術文件。

彼時，快充技術剛剛普及，高通、MTK、蘋果、OPPO 等等好多廠家分別開發出了一套自己的快充標準。一時間各陣營群雄逐鹿，混戰不停。

但這帶來一個問題：大家的標準不同，A陣營的充電器遇見B陣營的裝置，雖然理論上都支援快充，但就像一個說日語，一個說西班牙語，他們就是沒辦法“相認”，A陣營的充電器只好降到5V給B陣營的裝置慢充。

長此以往，問題大大的。

於是，一個叫做“USB標準化組織”的組織，組織大家討論出了一套“根正苗紅”的快充技術標準。從那以後，不管你是哪個陣營的，都要給“USB標準化組織”一個面子，相容這個版本的快充標準。

TK 當時看的，正是“USB標準化組織”釋出的快充技術白皮書。

最下面兩個就是標準充電和快充的認證標誌。

可是看著看著，老江湖的直覺告訴他，哪裡不對。

首先，根據標準，充電器內部程式碼不能是寫死的，而必須是可程式設計的。

其次，標準還規定，充電器出廠之後，要預留一個升級介面。

這就相當於房地產開發商把房子賣給你，但是卻留了一把鑰匙，可以隨時開啟你家房門，給你添置點傢俱什麼的。

當然，在現實生活中，法律是不會允許房地產商預留這樣的鑰匙的。但是在智慧硬體領域，這卻是一個可接受的標準操作。

TK 給我講了一個例子：

蘋果的耳機剛出來的時候，因為降噪效能太好，會意外導致一些人頭疼。蘋果於是緊急升級耳機韌體，把降噪效能稍微降下來一點兒。但是耳機已經賣出去那麼多，不可能一個個召回修改。所以，這個升級就是透過預留的升級介面下發的。

當耳機連線 iPhone 的時候，手機就把升級程式碼傳送給了耳機。當然這一切都是靜默完成的，普通使用者並沒有感覺。

你看，一個產品出街，鬼知道會碰到什麼么蛾子問題，如此說來，在銷售的硬體上預留一個升級介面，好像也合情合理。

但正是這個機制的設計，讓 TK 感覺“有機可乘”，當時他腦海裡出現了一個“火刑攻擊模型”。

布魯諾：？？？

首先，想辦法搞出一段攻擊程式碼，植入目標充電器。

然後，在充電器連線手機的時候，讓攻擊程式碼流入手機。

再然後，攻擊程式碼可以破壞手機充電保護機制，讓手機在已經充滿電的情況下繼續充電，直到電池燃爆。

最後，這個攻擊程式碼還可以在不同的手機和快充充電器混插的時候交叉傳播，就像艾滋病一樣。

給你畫張圖方便理解。（字太小的話就點雞放大）

如果真的能達成這樣的攻擊路徑，那麼駭客就有可能製造出一種病毒感染全球大多數快充裝置，甚至能讓全世界的手機在同一時刻燒燬，想想都讓人毛骨悚然。

不過，目前為止這一切都只是理論中的推演，這其中每一步都有可能卡住，具體能不能做到，還要事實來驗證。

玄武實驗室只有不到30人，人力實在有限，當時絕大多數人又都撲在另一個漏洞——用殘留的指紋痕跡解鎖手機——上（詳情見么哥的），所以真正開始研究快充充電器的問題，已經到了2019年的春天。

不過，即使是在玄武實驗室內部，這個研究都是絕密的，只有包括 TK 在內的六個人知道，頗有幾分“曼哈頓計劃”的意思。

因為我們曾經發現了很多影響行業的安全問題，鍛煉出了敏感性。這個漏洞的危害可能非常大，把它限制在實驗室的範圍內，一切都能控制，一旦擴散，後果就無法預料了。所以我們非常謹慎。

TK 換上了一副嚴肅臉。

就這樣，TK 指派玄武實驗室研究員馬卓帶領著四人小分隊開始了長達一年的“地下研究工作”。

（二）成為充電專家

這件事，比想象中更艱難。

原因在於：快充這個領域極其封閉，從網上根本找不到相關的技術文件。

手機究竟怎麼和快充充電器建立連線？他們倆用什麼語言溝通所需要的電壓和電流？這些通通不知道。

你可能會說，找個做充電器的廠家問一問不就行了？

這裡有一個行業知識：大多數充電器廠商只負責最後的整合製造，主體方案都是從上游的方案整合商購買的。而你去問一個充電器製造商他們的方案是從哪裡買的，人家能告訴你才見了鬼。

感覺整個行業的人，無論是快充晶片生產商、方案整合商、充電器生產商還是受電模組生產商都“躲在暗處”，像賣驢一樣在袖口裡就把一切都商量好，悄悄地就把這些東西給生產出來了。

進入這個領域，就像是摸進了一棟漆黑的房子，你不知道里面的陳設和結構如何，也不知道里面究竟有多大，甚至連房子裡面是人是鬼都不知道。

這可咋辦？研究員們只好先硬著頭皮先從市場上買回來幾個銷量不錯的充電頭，看著桌子上這幾個“硬核桃”發楞。

要我說，一個頂級的安全研究員，得跟頂級的特工不相上下。

你看詹姆斯邦德，無論是汽車還是飛機坦克，連航空母艦他也是必須上去就能開，強烈懷疑他的駕照是宇宙交管局給他發的。

玄武實驗室這群技術宅也不含糊，他們決定，就用死磕的方法，掰掉充電器外殼，然後直接把晶片給焊下來，引腳接到自己開發的除錯裝置上，一頓逆向分析。

就這樣，幾個月過去了，他們用緩慢但卻有效的方式把“快充”這間黑屋子的運作原理摸得七七八八。

這就像二戰時盟軍破譯了德國的密電碼，別提多高興了：充電頭向手機發出一串訊號，研究員就知道，這是在建立快充連線；手機又向充電頭髮出一串訊號，研究員也能秒懂，這是在協商電壓。

不是吹牛，現在我們團隊的幾位同學對於快充的訊號涵義和運作機制，比大多數充電器廠商理解得都要深刻。

TK 說。

可是，充電器原理研究明白了，問題也來了。

就在2019年夏天，馬卓他們四個垂頭喪氣地走進 TK 的辦公室：“老闆，失敗了。。。”

原來，隨著研究員對快充技術越來越瞭解，甚至可以任意修改韌體，但他們確信 TK 之前設想的那個攻擊模型是無法達成的。

我們來回憶一下最初 TK 設計的“火刑攻擊模型”，其中有兩個關鍵難點：第一，攻擊程式碼要能破壞掉電池的充電保護機制；第二，攻擊程式碼要能在手機和充電器之間來回橫跳傳播。

這兩個關鍵點在現有的條件下都是無法突破的。

首先，無論是電腦還是手機，起碼有三層機制在保護電池不過熱燃燒，有的甚至是純硬體機制，這個基本沒有可能繞過。這也就是說：燒電池做不到。

其次，一般的快充充電器裡能用來儲存的空間太小了，只有幾Kb，完全放不下能自我傳播的那種高階的攻擊程式碼。而且被充電的裝置模組邏輯也很簡單，難以被控制。這也就是說，讓攻擊程式碼在充電器和手機之間橫跳也做不到。

聽完了同學們的描述，TK 猛然問了個問題：“既然已經能修改韌體，應該就可以控制輸出的電壓和電流了吧？”

同學們回答：“這。。。應該是可以的。”

“那你們已經成功了啊！”TK笑了。

（三）柳暗花明

這世界上真愛不好找，攻擊模型可有的是，尤其是“猥瑣流”的駭客總能想出各種千奇百怪的攻擊模型。（有興趣的話，可以回顧）

這不，TK 一秒鐘就又想到了另一種攻擊模式：

1、透過手機把攻擊程式碼傳輸進快充充電器裡。

2、被感染的充電器只做一件事，瞬間輸出最強的電壓，擊穿受電裝置的晶片，讓它報廢。

這麼一來，原來電池著火的“火刑”就變成了高壓電擊穿晶片的“電刑”，反正不把受電裝置弄死，這群技術宅是不會死心的。。。

同事們根據這個思路一試，發現果然走得通。

於是，一套詳盡的攻擊方式被火速構建起來。

具體來說，攻擊分這麼幾種情形：

1、面對非快充裝置。

前面說過，正常的快充充電頭會詢問裝置，你要的電壓電流是多少。如果受電裝置回答是5V，或者是不回答（一般的非快充裝置根本沒有“回覆”充電頭的能力），都會統一按照5V去輸出。

這下可好，前面已經商量好了5V，結果充電頭給出去的真實電壓直接就是20V（一般快充充電器所能達到的最高電圧），結果裝置就會直接被擊毀，甚至晶片都有可能燃燒。

2、面對傻白甜的快充裝置

同樣，在接通充電器後，充電器和受電裝置會先溝通一個充電電壓，例如是12V。這時，充電頭裡的惡意程式碼故技重施，讓實際輸出的電流仍然是最高的20V。

由於這裡超出的電壓並不像第一種情況那麼懸殊，所以這裡給晶片造成的損失是未知的。有很大可能被燒燬，也有一定可能可以扛一陣，但是晶片壽命會大大縮短。

“就像有的人挨一拳就倒了，有的人被打一個小時才倒，這個看體質。”TK笑。

手機的“遺照”

3、面對雞賊的裝置（快充不快充都包含）

不得不說，有一些硬體還是做了一些保護的。他們首先跟充電器協商一個充電電壓，但是也會回過頭來驗證你有沒有說謊。一旦判斷不對勁，就馬上斷開連線。這時，這個充電頭就被拉黑了，再也無法為裝置充電了。

面對這種雞賊的裝置，研究員的反制招數就是：“天下武功，唯快不破。”

他們會提前判斷這個裝置多久會進行一次電壓驗證，只要搶在對方驗證之前迅雷不及掩耳直接把高壓電給安排上，就妥了。。。

研究員用這個套路，成功擊毀了一部膝上型電腦。

就是這臺電腦，為科研獻出了生命，音容猶在。

後來 TK 他們在給膝上型電腦驗屍的時候發現，被燒壞的不只是充電模組，連主機板上的核心晶片都被燒燬了。

結論有二：

第一、高壓電不長眼，電到哪塊晶片連薛定諤都不知道。

第二、做個安全研究是真費錢啊，一個手機一個電腦地往裡扔。

說到這，你是不是感覺這幫人有點瘋狂博士的意思？

TK 告訴我，為了研究這個課題，他們還專門買了很多“護具”，就差給每個人都上個意外險了。

例如，他們一開始就買了一個準防彈級別的聚碳酸酯圓筒，把要攻擊的裝置放在裡面，然後跑開十米遠，躲在桌子後面按動“攻擊按鈕”。這感覺怎麼看都有點像微縮版的核武器試爆。

後來研究員發現，好像也沒危險到那個地步，於是漸漸膽大了起來。

一個有些驚險的事情也就此發生了。

有一次，他們用20V電壓測試攻擊了一個充電寶（充電寶作為受電裝置），結果充電寶的燈一下子就滅了。這意味著晶片被燒燬了。大功告成，團隊就去吃飯了。

沒想到，隔了一會兒回來，有一位同學無意中想挪動一下那個充電寶，結果他的手“嗖”地一下就縮回來了，原來充電寶已經非常燙，連塑膠外殼都軟了。

這是我們完全沒有料到的結果。一般的想法都是晶片燒燬後各個引腳之間就都斷路了，但在真實的物理世界，高壓電還可以讓一些本來不連線的電路連通起來。

這個充電寶就是被電擊連通了某條線路，導致內部電池的能量釋放了出來。

TK 說。

從那以後，團隊買了一隻超大號的鐵桶，一個人都能蹲進去的那種，凡是測試過的裝置，不論什麼結果，都先扔在裡面，安全防火，人人有責。。。

就這樣，團隊陸陸續續從市面上幾百款快充充電頭、快充充電寶、車載快充充電器裡買來了35個裝置，實錘發現問題的就有18款，多於一半兒。當然因為這些充電器都是頭部品牌，所以如果按照銷量佔比的話，會佔到市面上絕大多數。

這裡要提醒你注意，說到充電器生產商，它可能不僅生產充電器，它還有可能生產手機。所以，你正在使用的手機附贈的快充充電器也很可能是有問題的。

較真的淺友可能會問，那不還有17款做得很好麼？它們為什麼不受這個 BadPower 攻擊的影響？

我就喜歡較真的你，因為我也是這麼問 TK 的。

不過，結論有點荒誕，剩下的這些廠商，所選用的解決方案商在設計的時候沒按照套路出牌，陰差陽錯地關閉了除錯埠，或者晶片由於一些無厘頭的原因，被搞得無法執行攻擊命令。就好像一個聽力障礙者沒辦法感受到別人惡語相向那樣。。。

總之，客觀上的結果是，他們無法被 BadPower 攻擊。

從攻擊者的角度來看，這就好像一個開鎖專家遇到了一個把鐵門焊死的對手，再厲害的開鎖專家也沒辦法徒手拆電焊，還是作罷。

不過，到目前為止，既有的資訊其實已經暴露了非常大的攻擊面。

注意，此時玄武實驗室在實踐上可以做到的最強攻擊如下：選定一臺目標手機，先遠端入侵這部手機，再利用手機向快充充電器下發攻擊程式碼，之後，這個充電器就能電毀它充電的幾乎所有裝置。

於是，2020年初，玄武實驗室決定把這個問題的詳情告知相關部門——CNVD（國家資訊保安漏洞共享平臺）。

CNVD 立刻把問題轉達給所有相關的充電器生產廠家。

在預估大多數廠家都完成相關修復工作後，2020年7月，玄武實驗室選擇對外公佈 BadPower 的訊息，提醒電視機前的朋友們多多注意。（玄武並沒有公開具體攻擊技術，所以駭客無法根據現有資訊進行攻擊）

玄武實驗室這幫技術宅本來準備拯救世界以後歸隱山林，然而，後續的事情卻並沒完全向 TK 他們預計的那樣發展。。。

有國外媒體報道 BadPower 時，還做了一個頗為誇張的宣傳圖，給你感受一下。

（四）不能做“無害假設”

一些頭部的充電器廠家從 CNVD 得到了 BadPower 漏洞詳情，第一時間就進行了修復。

他們的修復方法分為兩類：

第一類，一些廠商對手機和充電器之間的通訊做強驗證，保證非法程式碼沒辦法進入充電器。

第二類，一些廠商乾脆關閉充電器的升級埠，等研究明白再在下一代產品中改進。

“採用第一類修復更好一些，‘可程式設計’畢竟還是個趨勢嘛，一堵了之不是長久之計。”TK說。

但是，除了屈指可數的頭部廠商，剩下八成的廠商態度卻不容樂觀。

2020年9月，TK 他們假扮客戶，肉身探訪了一些充電晶片廠商，詢問他們知不知道有個“很事兒”的團隊研究出了快充充電器的漏洞。

得到的回答分三類：

1、這個團隊估計是造假了，弄了個影片譁眾取寵。

2、這可能是下游充電器生產廠商使用不當，跟我們晶片沒關係。

3、知道這件事兒，但是沒關係，你以為真的有人來攻擊充電器嗎？

其實我覺得，這裡面除了第一種回答有點不厚道以外，另外兩種態度並不算離譜。畢竟這年頭做生意都不容易，晶片模組的利潤薄，如果修改程式碼，還要額外的技術成本。

但是 TK 完全不這麼認為：

工業控制裝置，以前所有人都不相信它們還會感染病毒。可是2010年的時候人們發現了震網病毒，這個時候，美國已經利用震網病毒攻擊伊朗核設施好幾年了，這直接拖慢了伊朗的核計劃。一個攻擊，只要理論上存在可能，就會有人打它的主意。

攻擊可能正在發生，唯一的問題就是你還不知道。

未來也許每個人都有快充充電器，那時候，對這些裝置的攻擊方法也許還會進步，造成大規模攻擊的可能性完全存在。如果拖到那個時候整個行業再回過頭來收拾攤子，那成本就非常大了。

震網病毒經過幾層裝置轉跳進入相關設施。

伊朗時任總統內賈德視察核設施時，已經可以從對面的螢幕上看到紅點，推測這是被病毒摧毀的離心機。

其實，TK 所說的邏輯，還有一個例證。

那就是他在2015年發現的 BadBarcode 漏洞，攻擊掃碼器可以盜刷支付金。當時絕大多數人還處在出門帶錢包的現金社會，人們恐怕難以想到，僅僅幾年後，掃碼支付就會在中國爆炸式地普及，成為叔叔阿姨日常買菜的操作。

TK 告訴我，因為看到了問題，騰訊支付從2015年就開始注意掃碼支付環節的漏洞，所有微信支付所採購的掃碼器型號都要經過玄武實驗室的檢測才行。（下次出去吃飯你可以拿起飯店的掃碼器研究一下，2019年以後微信支付採購的掃碼器上會印有玄武實驗室的認證 LOGO）

這些拯救世界的事兒，都讓他頗為驕傲。雖然他沒披斗篷，還穿著拖鞋。

TK 手上拿著的，就是他們最初用來探索充電原理的“秘密武器”。

（五）較真兒的人

說到玄武實驗室的認證，TK 還給我講了一個小故事。

當年釋出 BadBarcode 漏洞之後，有一家掃碼器廠商的 CEO（執行長）帶著 COO（營運長）直接殺到了玄武的辦公室，把 TK 嚇一跳。

問清楚才知道，他們的掃碼裝置行業地位很高，而且很快就要買到海外，所以請這個漏洞的發現者玄武實驗室對裝置的安全性進行一個鑑定，這樣挑剔的老外也就無話可說了。

玄武實驗室欣然接受，這就是他們第一次為別人做認證。

結果，這家企業直接把玄武實驗室的認證 LOGO 給掛到了官網首頁上，還是挺拉風的。

而到了這一次，玄武實驗室發公佈了 BadPower 漏洞，又有好多人透過私下關係找到 TK 和實驗室其他成員，詢問他們到底測試了哪一款，買哪個牌子的充電器是安全的。

沒辦法，TK 他們又想到了做認證的方式。

此時此刻，他們就在給一些充電器做認證測試，估計過幾天你就能買到修復了 BadPower 漏洞的充電器了。這裡中哥本想把這些已經透過認證測試的充電器品牌公佈出來，但是徵求了廠家的意見，他們還是靦腆地表示：下次。

“測試認證會成為你們的商業模式嗎？”我問 TK。

目前為止（2020年9月），所有的測試認證都是免費的，如果我們做得過來，會一直免費下去。現在看起來相關工作量還不算太大，沒有影響到我們日常研究工作。

TK 笑。

講真，玄武實驗室在很多不理解他們的人眼裡確實挺“較真兒”的。動不動就“雞蛋裡挑骨頭”找到一個行業的設計類問題，搞一個大新聞，攪得這一行“雞犬不寧”。

但從另一個角度講，世界上又不能缺少這麼“較真兒”的人。

一個普通的漏洞，就好比按照圖紙施工的工人一不留神幹錯了；而設計類問題，是圖紙從一開始就畫錯了，影響面是行業性的。

而畫圖紙的人，肯定是那一行頂尖的人物，顯然他們犯錯的機率會更小。但也正因為如此，這些設計類問題一旦發現就更加猝不及防。我們就是想做最先發現這些問題的人。越早發現，修復的成本就越小。

TK 如是自白。

這倒讓我想起了一個故事。

19世紀英國霍亂縱橫，原因就是廢水汙染飲用水。

倫敦排水系統設計師巴瑟傑在巨大的當局壓力下，仍然堅持他龐大而前瞻的下水道改造計劃。這些看不見的工程綿延六年才基本完工，耗資巨大，又幾經修改。百年間它究竟從瘟疫中救起來多少人，成為了一個無法計算的數目。

多年後，人們回憶往事，都會想起這句話：下水道是一個城市的良心。

而在我看來，玄武實驗室這些較真的人，大概也和巴瑟傑相似。我想起來 TK 曾用了很久的一個簽名：爾曹身與名俱滅，不廢江河萬古流。

值得慶幸的是，人的功過，從來都是由後人評說。

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜尋微信：shizhongmax

爾曹身與名俱滅

不廢江河萬古流

原標題：《讓手機“坐電椅”？一群較真兒的人制止了真實世界的殘酷攻擊》