InfoQ專訪“白帽駭客”吳石：兩次破解特斯拉的騰訊安全科恩實驗室這次為什麼瞄準物聯網？

兩次成功破解特斯拉自動駕駛系統，甚至可以在遠端無物理接觸的前提下操控汽車，將特斯拉的中控大屏和液晶儀表盤更換為自己實驗室的Logo，並收到馬斯克親筆簽名的致謝信；遠端破解寶馬多款車型；連續五年參加國際頂級駭客大賽Pwn2Own並獲得十六個單項冠軍，斬獲三個Master of Pwn稱號，創造了世界最好成績，這到底是一個怎樣的團隊？
創造上述事蹟的正是騰訊安全科恩實驗室負責人吳石，那麼這個“全球發現漏洞最多的人”所帶領的實驗室瞄準的未來方向是什麼？在接受InfoQ的專訪時，吳石透露了答案。

來源：InfoQ

作者：趙鈺瑩

憑著“挖漏洞”拿下微軟offer搞實驗室被騰訊收購

去微軟是因為我當時發現的漏洞比較多，被騰訊收購是在拿下 Pwn2Own（全世界最著名、獎金最豐厚的駭客大賽）冠軍之後。

在加入微軟之前，吳石在一家校辦企業工作了六年，因為覺得繼續呆下去沒辦法實現自己的夢想就毅然辭職。

“我本身是數學系的，但對挖漏洞特別感興趣。”辭職後的吳石花了一年時間在家專職找漏洞，並將其中高價值的安全問題提交到回收安全漏洞的第三方廠商，這些廠商會利用漏洞資訊制定他們的IPS規則，同時將資訊與微軟等廠商共享——所謂高價值漏洞，就是影響較廣、不需要什麼前置條件、預設開啟的漏洞，比如windows漏洞、瀏覽器漏洞等。這類漏洞如果被駭客惡意利用，造成的影響是巨大的。

在這期間，吳石一個人發掘超過100個Safari的CVE(“Common Vulnerabilities&Exposures”，公共漏洞和暴露)漏洞。他曾創造過單年申報微軟漏洞數量全球佔比10%、獨自發掘15個iOS漏洞的成績，這個數字甚至比同期蘋果自家研究人員發現漏洞（6個）還要多。就這樣，吳石被微軟注意到了，微軟的一位技術總監直接給了吳石一份Offer。

我對這份offer很滿意，因為基本不限制我做任何事情，不用坐班，每年 20 多個可用漏洞的KPI只用一個月就能完成，還順便買了套房。

2012年，吳石受到幾位已離職的微軟同事的邀請，開始擔任keenteam的技術顧問，這是世界範圍內由廠商官方確認發現計算機漏洞數量最多、最瞭解突破現代安全保護技術的專業安全團隊之一。

“我們當時主要是希望找到蘋果手機越獄的方法，可惜這個目標沒實現，但是我們憑藉著當時的研究成果去打了一場 Pwn2Own，拿到了冠軍。”

那一年的Pwn2Own，keenteam 攻破了當時蘋果最新的iOS 7.0.3，成為國內安全領域的第一個世界冠軍。獲獎當天，世界知名的安全企業法國Vupen透過推特公開祝賀（Vupen曾在多屆類似賽事中拿到冠軍），本次比賽受到了中國、美國、日本、英國、法國、韓國等媒體的高度關注，同時引起了騰訊的關注。2014 年，keenteam 被騰訊收購。

在此之後，keenteam迎來了兩年的獨立發展，做了很多嘗試，雖然技術過硬，但吳石坦言當時也沒什麼盈利模式，很多產品當時在市面上是可以找到雷同商品的，基本屬於很難賣出去的那種，當時的一個嘗試是在 Android 手機上利用漏洞獲得比較高價值的許可權，防止病毒、木馬對手機做破壞，這對騰訊的手機管家特別有幫助，keenteam的相關成員也在之後不久全部被騰訊收編，成立了如今的騰訊安全科恩實驗室，吳石也正式成為騰訊15級科學家。

從隨心所欲到正式收編，這個“全球發現漏洞最多”的男人也開始為管理團隊操心，畢竟整個團隊聚集了很多優秀的白帽駭客，而優秀的人大抵是極具個性的。吳石表示，騰訊安全科恩實驗室內部由少量的專案管理同學和研發團隊組成，包括車聯網研發團隊、移動安全研究團隊、IoT研發團隊和傾向於基礎安全性研究的團隊，這個團隊又分為通用軟體漏洞挖掘模式研發的團隊和研究軟體漏洞利用方案的團隊。

“一開始，我們內部成員在選擇方向上是自由的，但後來發現這樣的效果並不好，很多人大學畢業後加入騰訊安全科恩實驗室，對於研究方向是迷茫的，大多數情況下，我們會給成員一個引導，更傾向於讓他們研究一些與未來相關的領域，比如5G、物聯網安全、工業網際網路安全等，我們內部雖然有組織架構，但大家往往是跨組織互相交流，成員自發成立學習興趣小組，內部也會定期開展學習活動，由資深的研究員分享論文和成果。”

先後攻破特斯拉、寶馬,收到馬斯克親筆致謝信

雖然吳石本人在安全領域風生水起，但對大眾而言，熟知騰訊安全科恩實驗室是從他們攻擊特斯拉開始的…

2016年9月21日，騰訊安全科恩實驗室正式宣佈，他們以遠端無物理接觸的方式成功控制特斯拉汽車，這在全球尚屬首次。簡單來說，他們的研究人員只需坐在辦公室，就能完成對特斯拉的遠端控制。

整個過程花了兩個多月的時間，有多位研究人員參與，團隊使用一輛2014款Model S P85進行安全研究，同時還在一位朋友剛購買的新款Model S 75D上進行復測，兩者均安裝了最新版本韌體，證明該項研究可以影響特斯拉多款車型。

此次攻擊透過特斯拉車輛的網際網路絡實現，這是他們能夠實現遠端無物理接觸的前提。理論上，全球範圍內的任意一款特斯拉車型都有可能遭遇此類攻擊，畢竟大家的系統都是同一套。

破解成功後，騰訊安全科恩實驗室可以將特斯拉的中控大屏和液晶儀表盤更換為實驗室Logo，此時使用者任何觸控操作都會失效。當然，該漏洞帶來的危害遠遠不止於這種小把戲，他們能做的事大致分為兩類，分別是車輛停車狀態和行進狀態的遠端控制。

“這個事情其實特別簡單，我們還是keenteam的時候CEO買了輛特斯拉，被騰訊收購後這輛特斯拉作為公司資產帶過來了，當時不想浪費，就研究了一下。”

2017年6月，整個團隊再度破解特斯拉ModelX系統，遠端控制剎車、車門、後備箱，操縱車燈以及天窗。研究人員透過Wi-Fi與蜂窩連線兩種情況下均實現了對車載系統的破解，透過汽車的網路瀏覽器來觸發計算機漏洞，傳送惡意軟體，實現駭客攻擊。

“2016年的時候，我們自己做了個攻擊用的網站，透過讓特斯拉內建的瀏覽器訪問我們做好的網站就可以黑掉中屏，這僅僅是第一步，中間就是需要找一些關聯漏洞，整個攻擊鏈路比較長。2017年的情況差不多，我們做了一個偽 Wi-Fi 熱點，wifi自動連上後就會給一個攻擊程式碼，直接透過Wi-Fi或者藍芽來攻擊整個特斯拉的系統。”

搞定特斯拉之後，整個團隊也收到了汽車工業界一些人的質疑，大意為即便能搞定類似特斯拉這種造車新勢力，也搞不定賓士、寶馬這種品牌。於是，吳石又帶人搞定了寶馬。

2018年5月，騰訊科恩安全實驗室的研究人員在寶馬多款車型中發現了14個安全漏洞。該研究專案時間為2017年1月至2018年2月，隨後他們向BMW報告了這些問題，並獲得全球首個“寶馬集團數字化及 IT 研發技術獎”。

說實話，特斯拉還是自動駕駛圈安全係數較高的

這番操作過後，騰訊安全科恩實驗室在汽車安全領域聲名鵲起。

2019年3月29日，騰訊安全科恩實驗室（Keen Security Lab）在官方推特上釋出了一篇關於特斯拉自動駕駛安全漏洞的文章連結，題目是《特斯拉 Autopilot的實驗性安全研究》，重點關注在視覺AI模型對抗研究、Autopilot 系統架構與網路安全等方面。以特斯拉Model S（軟體版本 2018.6.1）為物件，針對其搭載的Autopilot系統進行安全研究，騰訊安全科恩實驗室取得了以下三個研究成果。

1. 雨刷的視覺識別缺陷

特斯拉Autopilot系統藉助影像識別技術，透過識別外部天氣狀況實現自動雨刷功能。騰訊安全科恩實驗室透過研究發現，利用AI對抗樣本生成技術生成特定影像並進行干擾時，該系統輸出了“錯誤”的識別結果，導致車輛雨刷啟動。

特斯拉自動雨刷功能的視覺神經網路

2. 車道的視覺識別缺陷

特斯拉Autopilot系統透過識別道路交通標線，實現對車道的識別和輔助控制。騰訊安全科恩實驗室透過研究發現，在路面部署干擾資訊後，可導致車輛經過時對車道線做出錯誤判斷，致使車輛駛入反向車道。

3. 遙控器操控車輛行駛

利用已知漏洞在特斯拉Model S(版本 2018.6.1)獲取Autopilot控制權之後，騰訊安全科恩實驗室透過實驗證明，即使Autopilot系統沒有被車主主動開啟，也可以利用Autopilot功能實現透過遊戲手柄對車輛行駛方向進行操控。

“我們團隊花了差不多一年的時間實現遠端控制，這個成本是非常高的，所以特斯拉其實是安全係數相當高的一款車，如果人機介面繼續增加（比如智慧召喚功能出現）必然需要在遠端或者車上開一個服務埠，這樣肯定會增加被攻擊機率，但相對來說，特斯拉是非常安全的。”

對於自動駕駛領域的汽車安全性問題，吳石認為關鍵要看系統複雜度，越複雜越容易出現安全問題，看似簡單的系統往往非常難以攻破，一般廠商都會模擬攻擊的方式來提高安全性，但這個工作量非常大，現在可以透過機器學習的方法來防範攻擊，但因為是一個比較新的領域，所以大部分廠商還沒有這樣的概念，這也導致自動駕駛目前在資訊保安方面比較弱。

因此，吳石帶著團隊搞出了sysAuditor，這是一款對嵌入式系統(物聯網裝置、手機、汽車)進行安全基線審計的產品，採用線下私有化部署，確保客戶韌體資料更強隱私保護，主要面向汽車、手機、物聯網裝置製造商。車廠研發部門可以對車載系統的安全性進行檢測，對車端系統的設計、配置、編碼缺陷和安全漏洞進行自動化分析。雖然某些複雜問題或高階漏洞可能還需要安全研究員的人力介入，但“絕大多數問題都已經能夠透過平臺系統自動化完成了”。

這一次，駭客瞄準了物聯網

當駭客瞄準了某一目標時，這意味著該領域的安全問題必須要引起重視了，吳石及騰訊安全科恩實驗室的過往戰績也證明了這一點。

“自動駕駛只是一部分，我們最主要還是研究汽車這個工業產品本身的安全性，透過做這樣一個攻擊演示，讓廠商和消費者也能夠了解自動駕駛在安全上還是很有問題的，需要被高度重視。”

如今，物聯網風起，各種型別的硬體裝置在可預見的未來會爆炸式增長。從 PC時代到移動時代，吳石這群人對瀏覽器、Android、iOS研究得已經足夠多了，當整個時代繼續向前，顯然到了物聯網和工業網際網路的時代。

採訪中，吳石表示隨著5G技術的成熟，業界出現了很多低成本的物聯網裝置，這些裝置的安全性非常有問題，而且嚴重到會影響整個網際網路的安全。一方面，裝置本身擁有更多的入口和控制方式，這為使用者帶來操作便利性的同時也形成了更多攻擊面。IoT裝置的嚴重碎片化現象以及設計開發人員安全意識薄弱，都會導致出廠的韌體中存在著各種各樣的漏洞。

另一方面，由於IoT本身使用的作業系統數量多，使用的架構不統一，韌體格式更是因廠商而異，常見格式數以百計，同時還存在著許多廠商自行設定的特殊格式。多樣性給 IoT 裝置帶來定製化與差異化的便捷，同時也給安全自動化檢測帶來了挑戰。

“其實很多做物聯網裝置的廠商利潤很薄，自然對安全是欠考慮的，這些便宜的硬體裝置存在很多安全問題，最大的問題是利用了很多非常老的開源軟體，這些軟體存在的安全問題甚至已經被公佈了，但廠商仍然沒有做修復，畢竟即便是家庭路由器的部件升級都需要花費很多時間和費用，這就導致漏洞直接曝光在網際網路上，駭客可以隨意利用。”所以，騰訊安全科恩實驗室希望解決這些安全問題。

針對此，吳石帶領的騰訊安全科恩實驗室推出了一款自動化韌體安全掃描系統IoTSec，系統透過對IoT裝置常見攻擊面、漏洞與安全風險模式進行建模，使用資料流、控制流以及靜態汙點分析等方法，對裝置韌體以及韌體配套的原始碼進行安全掃描。平臺提供針多種目標的掃描檢測能力，支援多種主流作業系統，支援常見主流 cpu 架構，在多個維度、最大化並儘量精準地識別裝置中的安全風險問題並以報告的形式全面呈現並給出修復建議。

“我們之前測了大概 20 萬韌體，因為這些裝置的格式千差萬別，一半以上基本都可以解壓成功，漏洞檢測的準確率可以達到 80% 到 90% 以上。”

要想利用機器學習的方法實現自動檢測，還必須擁有足夠多且優質的資料。吳石表示，很多廠商都會在網站提供下載升級的rom，儘管他們可能不樂意修復，所以並不主動推送，但對於嚴重的漏洞不得已也會修復，騰訊安全科恩實驗室就把這些全部進行了打包，囊括進了檢測系統。目前，該系統開通了網上的免費版 https://iotsec.tencent.com/ ，可以免費試用。

自成立伊始，騰訊安全科恩實驗室就開始對外輸出安全能力。“那個時候，我們沒想過賺錢，就是從手機開始，想弄明白手機內部長什麼樣子，那時候是跟華為的工程師合作，後面慢慢車聯網的客戶就多起來了，包括奧迪、寶馬、上汽集團，廣汽、東風等，再到如今的5G、物聯網，我們希望可以把積累的能力對外輸出，包括物聯網，我們還是願意以合適的價格對外提供服務。”

過去十年，吳石最感興趣並且一直在研究的方向都是動態漏洞發現，利用很多機器去跑，跑出來的結果是一個實實在在的安全問題，這還是蠻有挑戰的，對一個大型軟體而言，把所有狀態都跑一遍是不現實的，這就需要選擇合適的演算法和方式。面向未來，吳石希望可以繼續加強這一部分的研究，透過將AI引入安全研究中來有效降低難度，並將這些能力和方法，比如IoTSec 輸出到全國各地，也是儘可能緩解安全領域的人才缺口。

“今年行業的人才缺口大概是70萬，明年缺口要達到100萬。目前高校每年能提供的安全專業的畢業生僅5萬左右。另一個問題則是人才斷層，你可以看到‘70 後’在企業乃至國家層面做安全的屈指可數，‘80 後’這一代就已經有了巨大的人才斷層，因為當時安全行業非常苦，壓根兒不掙錢，大多數高校也就沒有設立安全專業。此外，國內安全領域炒得很熱鬧，看起來人也不少，但是這麼多年下來能夠行銷全世界的安全產品幾乎沒有，被所有行業廣泛採用的安全產品也乏善可陳。”

此外，騰訊安全科恩實驗室的工業控制系統在上海松江區也已落地，工業網際網路的安全研究也將是整個實驗室未來能力輸出的一部分。

慶幸，這些頂尖的安全人員進入了騰訊安全科恩實驗室，成為了最佳的白帽駭客。

採訪嘉賓：
吳石 騰訊安全科恩實驗室負責人
20年來一直從事網路安全方面的研究及開發工作。曾在瀏覽器領域、PC軟體領域的漏洞挖掘取得了系列研究性創新成果。其本人領導的科恩團隊專注於移動網際網路安全、車聯網安全研究，與特斯拉、奧迪、寶馬等主流車廠建立了合作關係，為消費者的出行安全做出了較大貢獻。
吳石還注重人才的培養，先後組建的 keenteam 安全研究團隊、eee CTF戰隊，以及現在領導的科恩實驗室，培育出了數十位具有世界先進水平的研究員。團隊在國內、國際安全大賽均取得了卓越成績。在世界級的駭客大賽 pwn2own上斬獲了3個團體冠軍，今年又在有“駭客世界盃”之稱的 DEFCON CTF上拿到了總冠軍——這是中國戰隊第一次在這項國際頂級安全賽事上取得冠軍。