皮下植入芯片的手機黑客

Image copyright BBC World Service
Image caption (圖片來源: 思想庫Thinkstock)

越來越多的人在體內植入芯片,賽斯·沃爾便是其中一員。沃爾曾在美國海軍服役,目前在一家名為APA 無線的公司擔任工程師。同時,他還是一位生物黑客——這是一個「戲耍」人體極限的群體。

沃爾使用這種芯片讓我們得以從一個耐人尋味的視角來重新看待網絡安全的未來。依靠植入手中的芯片,沃爾與同伴羅德·索托(Rod Soto)的合作表演顯示,只需觸摸他人的手機就能入侵該手機。

他們這麼做並非有惡意,而是為了顯示將來會有一天,我們的手機和電腦可能在不知不覺情況被人侵入。

這一切都源於發生在弗羅里達州的一家披薩店內的偶然對話。安全研究員以及黑客邁阿密行動(Hackmiami)的組織者索托回憶道:「當時賽斯就坐在那兒,吃著披薩。我打招呼說,『嘿,伙計。你看起來很像電腦發燒友。』接著,我發現他的手中居然植入了芯片!」沃爾植入的是RFID 芯片,這是一種可以容納少量數據並與周圍設備進行通訊的微型設備。

主要研究軟件與硬件黑客活動的索托對此深感興趣。他說服沃爾在 2014年的黑客邁阿密活動中進行演示。最終,沃爾在演示中講述了自己的一個奇特構想,他認為他可以為手中的芯片引入槍支安全機制——槍支只有在他手中才能開火。

索托說:「在那次演示後我們進行了集體討論,我們思索著是否能用植入的芯片開發出什麼來。」於是他們決定測試一下:僅僅是讓沃爾握著他人手機,就能往該手機內安裝惡意軟件。

接下來的工作出乎意料地順利。沃爾坦誠道:「整個機制運行得太好了,簡直令人吃驚。」兩人用了幾個月時間,就完成整個項目的設計工作。並且,首次入侵試驗就成功了。「一般說來,這種事情是很少能在第一次試驗時就成功的。」沃爾說道。

Image copyright BBC World Service
Image caption 賽斯·沃爾 (左)與羅德·索托測試他的芯片

入侵機制是這樣的:沃爾的RFID芯片包括了一個近場通信(NFC)天線,後者傳播出能與具有近場通信功能的設備(比如手機)通訊的無線電頻率。因此,當沃爾手中持有一台手機時,他的芯片會向手機發送信號,而手機會出現一個彈窗,詢問用戶是否打開鏈接。如果用戶點擊了「是」,那麼鏈接就會往手機安裝惡意文件,該文件可以將手機連接到一個遠程服務器上,從而可以使其他人對其進行訪問。索托說:「一旦我接收到了訪問,手機實際上就是我的了。差不多就是這樣。」沃爾手持手機,索托操縱電腦,只需短短的幾分鐘,他們便能從被入侵的設備中下載文件。

在演示中,惡意鏈接並沒有經過精心偽裝——彈出的鏈接有可能讓用戶有點懷疑。但是沃爾和索托表示,只需稍加努力,他們便可以讓彈窗看起來很正常——比如系統升級的提示,糖果大爆險(Candy Crush )的遊戲推送等等。此外,就算他們要繞過這一步也不會遇到多大阻礙:他們完全可以讓惡意軟件直接裝入手機中,而無需點擊鏈接。

Image copyright BBC World Service
Image caption (圖片來源: 思想庫)

生物黑客群體與軟硬件黑客群體的結盟只是個時間問題。不過在邁阿密,索托和沃爾都表示,這種關係仍然是全新的。在2015年的黑客邁阿密活動中,生物黑客人數很少,但是軟件和硬件專家卻數以百計。沃爾說:「這是兩個截然不同的世界。」根據他的經驗,這兩個世界具有各自不同的文化與理念。沃爾說:「生物黑客經常會有稀奇古怪,甚至荒謬的想法。不過說實話,他們很少能夠把這些想法付諸實踐。因為其中大部分人都不具備技術能力來實現自己的想法。此外,他們大部分想法都是很危險的。另一方面,在黑客群體中有許多才華橫溢的人。說實話,他們當中,有些人是我遇到過的最聰明的人,他們可以讓一些看似瘋狂和不可思議的理念變為現實。」

這對搭檔的試驗也許只是利用人體植入芯片進行黑客活動的開端。手機並不是唯一使用NFC來進行彼此通信的工具。NFC是信用卡支付系統、移動支付系統(例如蘋果支付和谷歌錢包)、鑰匙卡,甚至醫療設備的核心組成部分。使用芯片進行NFC入侵只需要接近某人的設備、錢包、門或者血壓表,也許這就為各類圖謀不軌之徒打開了便利之門。

真正的風險?

時至今日,遇到一個手中植入RFID芯片的人的概率還是很小的。往體內植入設備並不是一時興起就能做的事,生物黑客也不是你走到哪都能碰到的。沃爾說,他花費了大量的時間研究不同類型的RFID芯片,對它們進行測試以確保他的身體不會與芯片中的鉛和其他化學物質接觸。然後,他聘請一位業餘的紋身藝術家,把芯片植入手中,位置介於大拇指和食指之間。「是的,感覺非常痛。雖然時間很短暫,但當時的疼痛也是難以想像的。不過,一旦針頭被拔出來就一點也不疼了。」

Image copyright BBC World Service
Image caption (圖片來源:思想庫)

在演示過程中,索托和沃爾並沒有觸犯任何法律。他們使用的是沃爾的手機,並且沃爾對整個過程完全了解。但是,如果某人將這樣的方法實施在一個毫不知情的受害者身上時,事情就變得很複雜。法律專家兼普林斯頓大學信息技術政策中心教授,安德烈·麥特維辛(Andrea Matwyshyn)如是說道。她指出,在美國,與之最相關的法律是計算機欺詐與濫用法案。安德烈補充道:「法規所針對的是超過授權獲取信息,即進入系統的人是否獲得了系統所有者的授權而獲取信息?如果沒有獲得授權,那麼這就是違法行為。」

對於索托和沃爾來說,他們關心的不是從他人的手機中竊取照片,而是希望暴露人們日常使用設備的安全漏洞。沃爾目前在一個剛成立的、名為Caveo Security的網絡安全公司工作。他表示:「我想傳達的信息並不是,『嘿,我可以在手中植入NFC芯片,並控制你的安卓手機。』我想傳達的信息是,我可以利用某項技術做到了這一點。而隨著技術的不斷進步,這樣的事情會更廣泛地發生。我們之所以這麼做的原因是想告訴人們:看,這東西可以被侵入。」

索托也持同樣看法:「我們之所以要公開這件事,主要是因為:在你公開一樣惡意軟件工具包、一個犯罪工具包、一種作案手段之後,通常它們便被銷毀了。也就是說,受害者們會警惕這種東西的存在,這種東西就失靈了,人們就可以防範了。」

(責編:路西)

欲閱讀 英文原文,請訪問 BBC Future網站。