InfoQ專訪「白帽黑客」吳石：兩次破解特斯拉的騰訊安全科恩實驗室此次爲何瞄準物聯網？

兩次成功破解特斯拉自動駕駛系統，甚至能夠在遠程無物理接觸的前提下操控汽車，將特斯拉的中控大屏和液晶儀表盤更換爲本身實驗室的Logo，並收到馬斯克親筆簽名的致謝信；遠程破解寶馬多款車型；連續五年參加國際頂級黑客大賽Pwn2Own並得到十六個單項冠軍，斬獲三個Master of Pwn稱號，創造了世界最好成績，這究竟是一個怎樣的團隊？

創造上述事蹟的正是騰訊安全科恩實驗室負責人吳石，那麼這個「全球發現漏洞最多的人」所帶領的實驗室瞄準的將來方向是什麼？在接受InfoQ的專訪時，吳石透露了答案。

來源：InfoQ

做者：趙鈺瑩

---

憑着「挖漏洞」拿下微軟offer

搞實驗室被騰訊收購

去微軟是由於我當時發現的漏洞比較多，被騰訊收購是在拿下 Pwn2Own（全世界最著名、獎金最豐厚的黑客大賽）冠軍以後。

在加入微軟以前，吳石在一家校辦企業工做了六年，由於以爲繼續呆下去沒辦法實現本身的夢想就毅然辭職。

「我自己是數學系的，但對挖漏洞特別感興趣。」辭職後的吳石花了一年時間在家專職找漏洞，並將其中高價值的安全問題提交到回收安全漏洞的第三方廠商，這些廠商會利用漏洞信息制定他們的IPS規則，同時將信息與微軟等廠商共享——所謂高價值漏洞，就是影響較廣、不須要什麼前置條件、默認開啓的漏洞，好比windows漏洞、瀏覽器漏洞等。這類漏洞若是被黑客惡意利用，形成的影響是巨大的。

在這期間，吳石一我的發掘超過100個Safari的CVE(「Common Vulnerabilities&Exposures」，公共漏洞和暴露)漏洞。他曾創造過單年申報微軟漏洞數量全球佔比10%、獨自發掘15個iOS漏洞的成績，這個數字甚至比同期蘋果自家研究人員發現漏洞（6個）還要多。就這樣，吳石被微軟注意到了，微軟的一位技術總監直接給了吳石一份Offer。

我對這份offer很滿意，由於基本不限制我作任何事情，不用坐班，每一年 20 多個可用漏洞的KPI只用一個月就能完成，還順便買了套房。

2012年，吳石受到幾位已離職的微軟同事的邀請，開始擔任keenteam的技術顧問，這是世界範圍內由廠商官方確認發現計算機漏洞數量最多、最瞭解突破現代安全保護技術的專業安全團隊之一。

「咱們當時主要是但願找到蘋果手機越獄的方法，惋惜這個目標沒實現，可是咱們憑藉着當時的研究成果去打了一場 Pwn2Own，拿到了冠軍。」

那一年的Pwn2Own，keenteam 攻破了當時蘋果最新的iOS 7.0.3，成爲國內安全領域的第一個世界冠軍。獲獎當天，世界知名的安全企業法國Vupen經過推特公開祝賀（Vupen曾在多屆相似賽事中拿到冠軍），本次比賽受到了中國、美國、日本、英國、法國、韓國等媒體的高度關注，同時引發了騰訊的關注。2014 年，keenteam 被騰訊收購。

在此以後，keenteam迎來了兩年的獨立發展，作了不少嘗試，雖然技術過硬，但吳石坦言當時也沒什麼盈利模式，不少產品當時在市面上是能夠找到雷同商品的，基本屬於很難賣出去的那種，當時的一個嘗試是在 Android 手機上利用漏洞得到比較高價值的權限，防止病毒、木馬對手機作破壞，這對騰訊的手機管家特別有幫助，keenteam的相關成員也在以後不久所有被騰訊收編，成立了現在的騰訊安全科恩實驗室，吳石也正式成爲騰訊15級科學家。

從爲所欲爲到正式收編，這個「全球發現漏洞最多」的男人也開始爲管理團隊操心，畢竟整個團隊彙集了不少優秀的白帽黑客，而優秀的人大抵是極具個性的。吳石表示，騰訊安全科恩實驗室內部由少許的項目管理同窗和研發團隊組成，包括車聯網研發團隊、移動安全研究團隊、IoT研發團隊和傾向於基礎安全性研究的團隊，這個團隊又分爲通用軟件漏洞挖掘模式研發的團隊和研究軟件漏洞利用方案的團隊。

「一開始，咱們內部成員在選擇方向上是自由的，但後來發現這樣的效果並很差，不少人大學畢業後加入騰訊安全科恩實驗室，對於研究方向是迷茫的，大多數狀況下，咱們會給成員一個引導，更傾向於讓他們研究一些與將來相關的領域，好比5G、物聯網安全、工業互聯網安全等，咱們內部雖然有組織架構，但你們每每是跨組織互相交流，成員自發成立學習興趣小組，內部也會按期開展學習活動，由資深的研究員分享論文和成果。」

前後攻破特斯拉、寶馬

收到馬斯克親筆致謝信

雖然吳石本人在安全領域風生水起，但對大衆而言，熟知騰訊安全科恩實驗室是從他們攻擊特斯拉開始的…

2016年9月21日，騰訊安全科恩實驗室正式宣佈，他們以遠程無物理接觸的方式成功控制特斯拉汽車，這在全球尚屬首次。簡單來講，他們的研究人員只需坐在辦公室，就能完成對特斯拉的遠程控制。

整個過程花了兩個多月的時間，有多位研究人員參與，團隊使用一輛2014款Model S P85進行安全研究，同時還在一位朋友剛購買的新款Model S 75D上進行復測，二者均安裝了最新版本固件，證實該項研究能夠影響特斯拉多款車型。

這次攻擊經過特斯拉車輛的互聯網絡實現，這是他們可以實現遠程無物理接觸的前提。理論上，全球範圍內的任意一款特斯拉車型都有可能遭遇此類攻擊，畢竟你們的系統都是同一套。

破解成功後，騰訊安全科恩實驗室能夠將特斯拉的中控大屏和液晶儀表盤更換爲實驗室Logo，此時用戶任何觸摸操做都會失效。固然，該漏洞帶來的危害遠遠不止於這種小把戲，他們能作的事大體分爲兩類，分別是車輛停車狀態和行進狀態的遠程控制。

「這個事情其實特別簡單，咱們仍是keenteam的時候CEO買了輛特斯拉，被騰訊收購後這輛特斯拉做爲公司資產帶過來了，當時不想浪費，就研究了一下。」

2017年6月，整個團隊再度破解特斯拉ModelX系統，遠程控制剎車、車門、後備箱，操縱車燈以及天窗。研究人員經過Wi-Fi與蜂窩鏈接兩種狀況下均實現了對車載系統的破解，經過汽車的網絡瀏覽器來觸發計算機漏洞，發送惡意軟件，實現黑客攻擊。

「2016年的時候，咱們本身作了個攻擊用的網站，經過讓特斯拉內置的瀏覽器訪問咱們作好的網站就能夠黑掉中屏，這僅僅是第一步，中間就是須要找一些關聯漏洞，整個攻擊鏈路比較長。2017年的狀況差很少，咱們作了一個僞 Wi-Fi 熱點，wifi自動連上後就會給一個攻擊代碼，直接經過Wi-Fi或者藍牙來攻擊整個特斯拉的系統。」

搞定特斯拉以後，整個團隊也收到了汽車工業界一些人的質疑，大意爲即使能搞定相似特斯拉這種造車新勢力，也搞不定奔馳、寶馬這種品牌。因而，吳石又帶人搞定了寶馬。

2018年5月，騰訊科恩安全實驗室的研究人員在寶馬多款車型中發現了14個安全漏洞。該研究項目時間爲2017年1月至2018年2月，隨後他們向BMW報告了這些問題，並得到全球首個「寶馬集團數字化及 IT 研發技術獎」。

說實話，特斯拉仍是自動駕駛圈安全係數較高的

這番操做事後，騰訊安全科恩實驗室在汽車安全領域聲名鵲起。

2019年3月29日，騰訊安全科恩實驗室（Keen Security Lab）在官方推特上發佈了一篇關於特斯拉自動駕駛安全漏洞的文章連接，題目是《特斯拉 Autopilot的實驗性安全研究》，重點關注在視覺AI模型對抗研究、Autopilot 系統架構與網絡安全等方面。以特斯拉Model S（軟件版本 2018.6.1）爲對象，針對其搭載的Autopilot系統進行安全研究，騰訊安全科恩實驗室取得了如下三個研究成果。

1. 雨刷的視覺識別缺陷

特斯拉Autopilot系統藉助圖像識別技術，經過識別外部天氣情況實現自動雨刷功能。騰訊安全科恩實驗室經過研究發現，利用AI對抗樣本生成技術生成特定圖像並進行干擾時，該系統輸出了「錯誤」的識別結果，致使車輛雨刷啓動。

特斯拉自動雨刷功能的視覺神經網絡

2. 車道的視覺識別缺陷

特斯拉Autopilot系統經過識別道路交通標線，實現對車道的識別和輔助控制。騰訊安全科恩實驗室經過研究發現，在路面部署干擾信息後，可致使車輛通過時對車道線作出錯誤判斷，導致車輛駛入反向車道。

3. 遙控器操控車輛行駛

利用已知漏洞在特斯拉Model S(版本 2018.6.1)獲取Autopilot控制權以後，騰訊安全科恩實驗室經過實驗證實，即便Autopilot系統沒有被車主主動開啓，也能夠利用Autopilot功能實現經過遊戲手柄對車輛行駛方向進行操控。

「咱們團隊花了差很少一年的時間實現遠程控制，這個成本是很是高的，因此特斯拉實際上是安全係數至關高的一款車，若是人機接口繼續增長（好比智能召喚功能出現）必然須要在遠端或者車上開一個服務端口，這樣確定會增長被攻擊機率，但相對來講，特斯拉是很是安全的。」

對於自動駕駛領域的汽車安全性問題，吳石認爲關鍵要看系統複雜度，越複雜越容易出現安全問題，看似簡單的系統每每很是難以攻破，通常廠商都會模擬攻擊的方式來提升安全性，但這個工做量很是大，如今能夠經過機器學習的方法來防範攻擊，但由於是一個比較新的領域，因此大部分廠商尚未這樣的概念，這也致使自動駕駛目前在信息安全方面比較弱。

所以，吳石帶着團隊搞出了sysAuditor，這是一款對嵌入式系統(物聯網設備、手機、汽車)進行安全基線審計的產品，採用線下私有化部署，確保客戶固件數據更強隱私保護，主要面向汽車、手機、物聯網設備製造商。車廠研發部門能夠對車載系統的安全性進行檢測，對車端系統的設計、配置、編碼缺陷和安全漏洞進行自動化分析。雖然某些複雜問題或高級漏洞可能還須要安全研究員的人力介入，但「絕大多數問題都已經可以經過平臺系統自動化完成了」。

這一次，黑客瞄準了物聯網

當黑客瞄準了某一目標時，這意味着該領域的安全問題必需要引發重視了，吳石及騰訊安全科恩實驗室的過往戰績也證實了這一點。

「自動駕駛只是一部分，咱們最主要仍是研究汽車這個工業產品自己的安全性，經過作這樣一個攻擊演示，讓廠商和消費者也可以瞭解自動駕駛在安全上仍是頗有問題的，須要被高度重視。」

現在，物聯網風起，各類類型的硬件設備在可預見的將來會爆炸式增加。從 PC時代到移動時代，吳石這羣人對瀏覽器、Android、iOS研究得已經足夠多了，當整個時代繼續向前，顯然到了物聯網和工業互聯網的時代。

採訪中，吳石表示隨着5G技術的成熟，業界出現了不少低成本的物聯網設備，這些設備的安全性很是有問題，並且嚴重到會影響整個互聯網的安全。一方面，設備自己擁有更多的入口和控制方式，這爲用戶帶來操做便利性的同時也造成了更多攻擊面。IoT設備的嚴重碎片化現象以及設計開發人員安全意識薄弱，都會致使出廠的固件中存在着各類各樣的漏洞。

另外一方面，因爲IoT自己使用的操做系統數量多，使用的架構不統一，固件格式更是因廠商而異，常見格式數以百計，同時還存在着許多廠商自行設定的特殊格式。多樣性給 IoT 設備帶來定製化與差別化的便捷，同時也給安全自動化檢測帶來了挑戰。

「其實不少作物聯網設備的廠商利潤很薄，天然對安全是欠考慮的，這些便宜的硬件設備存在不少安全問題，最大的問題是利用了不少很是老的開源軟件，這些軟件存在的安全問題甚至已經被公佈了，但廠商仍然沒有作修復，畢竟即使是家庭路由器的部件升級都須要花費不少時間和費用，這就致使漏洞直接曝光在互聯網上，黑客能夠隨意利用。」因此，騰訊安全科恩實驗室但願解決這些安全問題。

針對此，吳石帶領的騰訊安全科恩實驗室推出了一款自動化固件安全掃描系統IoTSec，系統經過對IoT設備常見攻擊面、漏洞與安全風險模式進行建模，使用數據流、控制流以及靜態污點分析等方法，對設備固件以及固件配套的源代碼進行安全掃描。平臺提供針多種目標的掃描檢測能力，支持多種主流操做系統，支持常見主流 cpu 架構，在多個維度、最大化並儘可能精準地識別設備中的安全風險問題並以報告的形式全面呈現並給出修復建議。

「咱們以前測了大概 20 萬固件，由於這些設備的格式千差萬別，一半以上基本均可以解壓成功，漏洞檢測的準確率能夠達到 80% 到 90% 以上。」

要想利用機器學習的方法實現自動檢測，還必須擁有足夠多且優質的數據。吳石表示，不少廠商都會在網站提供下載升級的rom，儘管他們可能不樂意修復，因此並不主動推送，但對於嚴重的漏洞不得已也會修復，騰訊安全科恩實驗室就把這些所有進行了打包，囊括進了檢測系統。目前，該系統開通了網上的免費版 https://iotsec.tencent.com/ ，能夠免費試用。

自成立伊始，騰訊安全科恩實驗室就開始對外輸出安全能力。「那個時候，咱們沒想過賺錢，就是從手機開始，想弄明白手機內部長什麼樣子，那時候是跟華爲的工程師合做，後面慢慢車聯網的客戶就多起來了，包括奧迪、寶馬、上汽集團，廣汽、東風等，再到現在的5G、物聯網，咱們但願能夠把積累的能力對外輸出，包括物聯網，咱們仍是願意以合適的價格對外提供服務。」

過去十年，吳石最感興趣而且一直在研究的方向都是動態漏洞發現，利用不少機器去跑，跑出來的結果是一個實實在在的安全問題，這仍是蠻有挑戰的，對一個大型軟件而言，把全部狀態都跑一遍是不現實的，這就須要選擇合適的算法和方式。面向將來，吳石但願能夠繼續增強這一部分的研究，經過將AI引入安全研究中來有效下降難度，並將這些能力和方法，好比IoTSec 輸出到全國各地，也是儘量緩解安全領域的人才缺口。

「今年行業的人才缺口大概是70萬，明年缺口要達到100萬。目前高校每一年能提供的安全專業的畢業生僅5萬左右。另外一個問題則是人才斷層，你能夠看到‘70 後’在企業乃至國家層面作安全的屈指可數，‘80 後’這一代就已經有了巨大的人才斷層，由於當時安全行業很是苦，壓根兒不掙錢，大多數高校也就沒有設立安全專業。此外，國內安全領域炒得很熱鬧，看起來人也很多，可是這麼多年下來可以行銷全世界的安全產品幾乎沒有，被全部行業普遍採用的安全產品也乏善可陳。」

此外，騰訊安全科恩實驗室的工業控制系統在上海松江區也已落地，工業互聯網的安全研究也將是整個實驗室將來能力輸出的一部分。

慶幸，這些頂尖的安全人員進入了騰訊安全科恩實驗室，成爲了最佳的白帽黑客。

採訪嘉賓：

吳石 騰訊安全科恩實驗室負責人

20年來一直從事網絡安全方面的研究及開發工做。曾在瀏覽器領域、PC軟件領域的漏洞挖掘取得了系列研究性創新成果。其本人領導的科恩團隊專一於移動互聯網安全、車聯網安全研究，與特斯拉、奧迪、寶馬等主流車廠創建了合做關係，爲消費者的出行安全作出了較大貢獻。

吳石還注重人才的培養，前後組建的 keenteam 安全研究團隊、eee CTF戰隊，以及如今領導的科恩實驗室，培育出了數十位具備世界先進水平的研究員。團隊在國內、國際安全大賽均取得了卓越成績。在世界級的黑客大賽 pwn2own上斬獲了3個團體冠軍，今年又在有「黑客世界盃」之稱的 DEFCON CTF上拿到了總冠軍——這是中國戰隊第一次在這項國際頂級安全賽事上取得冠軍。