以下是Livers演講全文：

　　大家好。第一次和大家見面心情非常緊張，我先說一下我自己。我之前主要專業(yè)還是搞Web的，我一直做乙方的工作，大約是兩年前，業(yè)余的時候開始研究一些可編程的路由器，就一發(fā)而不可收拾，特別喜歡智能上的設(shè)備，但是研究的也不夠多，大家知道后來替補上來的，有一些東西沒準(zhǔn)備好，時間太匆忙，如果后面有講的不好的地方，請大家多多諒解。

　　這里先給大家看一個視頻，這是一款智能插座，它有一個手機(jī)控制單可以控制開關(guān)，但是我發(fā)現(xiàn)了它的協(xié)議，發(fā)現(xiàn)里面是有問題的，所以我就用就簡單地模擬了一下它的收發(fā)，這兩個是在同一個網(wǎng)絡(luò)上的，就是家里遠(yuǎn)程可以控制我的插座。

　　我先介紹一下背景，可能有些人對智能家居還不是很了解，智能家居很早就進(jìn)入中國市場了，大約有十年的時間了，但一直不溫不火，直到這兩年才突然一下子迸發(fā)出來，而且出現(xiàn)了不少比較好玩兒的事，以前都是智能家居成套的系統(tǒng)，現(xiàn)在有一些智能家居的單體，像之前出了一些智能路由器，還有一些智能的插座，深受極客的喜愛，銷量非常火。

　　但是縱觀全局來看，傳統(tǒng)的智能家居占有非常大的市場份額，我相信未來肯定會有越來越多的智能家居的產(chǎn)品出現(xiàn)，它形態(tài)也會越來越豐富，我也很期待。

　　我簡單介紹一下智能家居整體框架，大家可以看到它中間有一個中心的部分，叫中控梯，它相當(dāng)于樞紐，它控制了視頻開關(guān)，還有紅外的一些裝置，還有基于Wifi的裝置，它會和路由器進(jìn)行交互，再通過手機(jī)終端或者電腦來控制。

　　但是按照目前的形式，漸漸的覺得中控梯太臃腫，就把中控梯和路由器做到一塊，小米馬上就上一些，把網(wǎng)關(guān)和路由器結(jié)合賣的路由器。

　　但是我是覺得，它們太過于追求創(chuàng)新，技術(shù)上的一些創(chuàng)新，對于產(chǎn)品的安全性考慮的不太周到，出現(xiàn)了一些安全問題。按照劍心的要求，他讓我寫一個技術(shù)框架，就整理了一套，把之前做的經(jīng)驗整理出來。

　　智能家居，我這邊研究的主要是兩大塊：一塊，智能路由器這部分;另一塊，智能家居的配件。路由器這部分我主要是從它的固件，Web接口和云端的交互等去研究的，配件我主要分析了它的通信協(xié)議，還有客戶端，包括它的云端控制，當(dāng)然，很普通的例子就不講了，我講一些我碰到的坑兒，比較好玩兒的事。

　　可能有些智能設(shè)備的廠商，防止代碼不被外漏，或者保護(hù)的作用，它會把自己的固件做加密。這里我看到了360智能路由器，我下載了它的固件，它是加密的，后來找到了它一個非常老的版本，就是未加密的，我把這個版本提取出來，搜索它里面可能很固件更新有關(guān)的東西，我發(fā)現(xiàn)在它的設(shè)計頁面里有一個(阿不路)的函數(shù)，我反匯編它的程序，它里面硬編碼了一個BUS文件，這個BUS文件調(diào)用了另外一個，這個BUS調(diào)用了解壓固件的。

　　我就反匯編這個，大家可以看到圖上，有一個非常明顯的加密的密鑰，其實就是被類似解密出來，可以直接當(dāng)做AESK傳進(jìn)來，我又跟著程序往下走，發(fā)現(xiàn)它又調(diào)用了RSA的加密，上面可以看到一個非常大的整數(shù)串，這就是RSA的密鑰，就是科普一下小知識，片入式的系統(tǒng)，為了更精細(xì)化沒有采用OPELL，如果對照里面加密庫的話，就是參照了IPI。

　　我又順著程序往下走，把程序完全理出來，它整體就是這樣，先讀取了128字節(jié)，用RSA解密這128字節(jié)，剩下的就是用AS，每次循環(huán)4096次節(jié)，進(jìn)行解密，前面它會有一個版本限期，我圖上標(biāo)注了，上面13，然后是長度，把這個去掉，然后做RMB5驗證，如果相同就刷入固件，如果不相同，就把解密出來的東西刪除，這樣的話我們就可以完全模擬程序，寫一套自己的解密程序，來發(fā)現(xiàn)它固件里面的各種問題。

　　另一種比較好玩兒的，就是變形壓縮的東西，這里小路路由，我后來又看了一下小路路由，它是內(nèi)部有一些不常規(guī)的壓縮，你用普通工具是無法把它踢出來，這就需要用精彩文件分析的功力。當(dāng)你解到這三層，你會發(fā)現(xiàn)它有一個(插隊)的壓縮包，它以XZ開頭，以YZ結(jié)尾，你去掉多余的代碼才能把它順利地解壓出來。

　　前面我是從軟件的部分來講，像我這樣的無業(yè)游民，對一些設(shè)備不可能花很多的財力去購買，更多的是自己從網(wǎng)上下載一個固件去分析，但是如果你有能力購買一些硬件的話，你會發(fā)現(xiàn)硬件的(漏洞)更多。

　　像智能路由器經(jīng)常用的OTW系統(tǒng)，它本身的串口會夠你一個ROOT終端，你直接用TTL轉(zhuǎn)USB，就可以直接控制了你整個的路由器。除了這個串口，還有像GTAK口，這個完全可以調(diào)節(jié)GPU，像有些不需要加密的，你就可以用GTAK口去破解它的加密，也可以讀寫它的里面的Flash內(nèi)容，把文件直接提取出來。當(dāng)然還有更暴力的，可以直接把Flash拆除下來。

　　說完了固件我再說說接口，之前提路由，在烏云也測過，它里面的版本就是被自身變異了，變的沒法兒看，相當(dāng)于提高了一個難度。從網(wǎng)上搜索也搜索不到任何這種反變異程序。我自己嘗試了一下，發(fā)現(xiàn)了可以把變異過的程序反變異過來。

　　我看了一下官方的PACH，官方的PACH打的LNO，嵌入式對浮點數(shù)的運算非常處理的，所以它本身會把浮點數(shù)轉(zhuǎn)換成整形。LUWA本身不到200K，這時候我就把π值π出來，可以反變異出LUWA的代碼。后面我會把工具分享給大家。

　　還有比較特殊的情況，有些不是把代碼加密，它把代碼給隱藏了，這里我看了一下華為的智能路由器，它本身的Web目錄是空的，我就覺得很神奇，它怎么沒有Web的接口?

　　我提取了它的固件，找到它的Web調(diào)用相關(guān)的程序，我反變異了它Web，發(fā)現(xiàn)的一個很神奇的配置，它里面保存了所有的文件的名稱、大小還有偏移，直接從Web值里給提取出來，這樣我們就能進(jìn)行Web上的審計。

　　說到審計，尤其像LUWac這樣的程序，可能之前不是經(jīng)常用，很多程序員在用的時候不太熟悉，往往會犯一些非常低級的錯誤，像直接讀取，加到字符串中直接執(zhí)行。

　　這里我就把它全部整理了一下，這里就說一下接口認(rèn)證，它的接口認(rèn)證比較奇特的，Luwas節(jié)點分多層次的，上層節(jié)點如果設(shè)置了就需要登錄驗證了，如果沒有設(shè)置就沒有登錄驗證的環(huán)節(jié)。

　　如果上層節(jié)點設(shè)置，下層節(jié)點也不會登錄驗證。還有從彈出聲明，官方是四個參數(shù)，但是后面加了一個，當(dāng)有第五個的時候就可以直接訪問。

　　后面我又研究了一下其他的，就是前一段時間剛出來的華為榮耀立方，大約這個固件是八月二十幾號的版本，我把它提取出來，然后查找里面的問題，我這里碰見了一個非常神奇的地方，在它ETC目錄下有一個PPT文件，這個文件可以任意文件上傳，我又看了它LAT符，這樣的話如果能訪問到的話，就可以上傳一個，通過系統(tǒng)的命令安裝一些APK，可以做一些非常好玩兒的事。

　　對于智能路由器，業(yè)內(nèi)人士的話比較喜歡它的各種APP的插件，也是它的一個比較大的賣點，但是由于這些插件可能是第三方開發(fā)的，或者自己又重新做的，所以在一些配置上沒有做好處理的。

　　像這個非常常用的一個離線下載的插件，它本身沒有登錄驗證，很多人直接拿來用了，包括一些大的廠商，這樣的話如果對外網(wǎng)開放的話，你可以直接遠(yuǎn)程查勘它下載了什么，你也可以幫它下載一些東西。有的是硬編碼直接在里面，也是非常奇葩。

　　前面說了這些路由器可能有密鑰執(zhí)行或者什么，大家可能只知道我能拿到控制權(quán)限，但到底我們拿到了它的權(quán)限之后，我們能做什么好玩兒的事或者邪惡的事?

　　按照我的經(jīng)驗想了一些，比如你拿到它的權(quán)限之后，你可以交叉變異，留一個后門，可以是免登錄的SSH，還可以是后門的Web的萬能密碼，或者是像之前一些路由器的漏洞，把DNS的服務(wù)導(dǎo)向一些釣魚網(wǎng)站，甚至流量去分析偷取一些帳號密碼等。

　　前面都是一些傳統(tǒng)的想法，當(dāng)智能路由器和智能家居設(shè)備結(jié)合的時候，我們就不只可以控制它的路由器，我們還可以控制它的家用設(shè)備，比如說攻破對方的安防系統(tǒng)，偷拍聲音、圖像，或者我們自己搞一些非常有趣的視頻，我這里就做了一個視頻。

　　前面可以看到我一些東西用了不少的反匯編，現(xiàn)在嵌入式設(shè)備基本上都是MIPS構(gòu)架，這個在網(wǎng)上的資料比較少，所以我總結(jié)了一些比較有特點的地方，比如它的尋址，它會有一個GK的計算器，這個是保持靜態(tài)變量的尋址，本來我也想去搞一些溢出方面的，我發(fā)現(xiàn)它的溢出比X86下還要麻煩，X86本身參數(shù)可以直接壓入對站，MIPS是完全通過計算器完成的，所以調(diào)整它的對站相對麻煩一些。

　　前面講了我對路由器的小小的研究。下面我講一些智能家居配件協(xié)議上的分析。很多傳統(tǒng)的智能家居配件會基于315還有433頻段，通過262的協(xié)議進(jìn)行傳輸。如果淘寶去搜一下，幾乎80%都是這樣的配件，但是這個安全性非常差，算是上時代的產(chǎn)物了。

　　這里我為了讓大家看一下，我也做了類似的視頻。這里通過手機(jī)控制端控制一個遙控門鈴，通過控制我的電燈的開關(guān)，我自己DIY了一些工具，用了它的收發(fā)器，還有發(fā)射裝置，用PRS的單片寫了一些262解碼程序，我可以直接SNIF它的信號，然后點擊。

　　當(dāng)然這些東西完全可以用工具直接按，非常簡單的完成，但是這個價格不菲，我自己搞了一套，成本大概也就十塊錢，就可以直接進(jìn)行收發(fā)，由于低成本的話，這樣的話我們就可以做更大范圍的事，因為它的傳送范圍是非常遠(yuǎn)的，大約有十米左右，所以我可以做很多，放在每個樓層，通過SNIF把抓取的數(shù)據(jù)存儲到單片機(jī)里，最終傳到我的電腦上，這樣的話可以遠(yuǎn)程控制一棟大樓的智能設(shè)備，就是這種比較簡單的智能開關(guān)。

　　大部分315、433的設(shè)備，基本上都是用的262的芯片，它發(fā)的基本上都是固定碼和硬編碼的一些東西。除了315還有433智能家居還常用一些紅外，紅外就是非常簡單的，像控制電視機(jī)，空調(diào)，但是紅外是多信號，無法穿墻，所以它經(jīng)常做轉(zhuǎn)發(fā)，像前面講的315、433等進(jìn)行轉(zhuǎn)發(fā)，這樣的話我們就可以間接地再來控制315或者Wifi的東西來控制紅外，我可以遠(yuǎn)程地幫他調(diào)高空調(diào)，或者遠(yuǎn)程地幫他打開電視換頻道。

　　前面都是講的一些比較傳統(tǒng)的，可能稍微有些科普了，這里我講一些最近比較火的一些，主要是Wifi上的一些東西。傳統(tǒng)的Wifi，就是物聯(lián)網(wǎng)主要基于AP模式去，那些是各種包括傳統(tǒng)的破解密碼就可以了。

　　但是后面一些單品延用了一些新的技術(shù)，叫做閃聯(lián)技術(shù)。我之前買過一些閃聯(lián)設(shè)備的插座，我第一次配置的時候完全震驚到了，我直接輸入Wifi就可以直接連入互聯(lián)網(wǎng)，我當(dāng)時還奇怪，我用的蘋果，它怎么可以控制我切換網(wǎng)絡(luò)呢?

　　所以我就覺得這個東西非常好玩兒，然后去研究它。等我理清了它的傳輸方法之后，我完全被它震撼到了。

　　它的過程其實比較簡單，它的芯片剛開始的時候，它把它的網(wǎng)卡設(shè)為混雜模式，然后監(jiān)聽網(wǎng)絡(luò)中所有的報文，像手機(jī)端配置帳號還有密碼，它可以通過自定義算法把它編到數(shù)據(jù)包中，它接收了這些直接通過長度的算法，可以把傳送的帳號還有密碼給解碼出來。

　　所以這個就非常好玩兒了，攻擊者可以同樣的也開一個網(wǎng)卡監(jiān)聽，掌握編碼規(guī)則，就是你怎么解碼的我也怎么解碼，我可以在旁邊SNIF解密到你加的Wifi帳號密碼，它的編碼稍微麻煩，都是易位操作，來減少CPU的預(yù)算。

　　這個問題之前老外研究者也提到過，他們做了一些收復(fù)方案，再傳輸?shù)臅r候用UES加密然后再傳輸，但是AESK是直接硬編碼到芯片里面的，所以用戶輸?shù)臅r候每次都要輸比較長的AESK。所以比以前更麻煩了。

　　前面是傳輸密鑰，到了后面有一些其他的東西，就是通過Wifi進(jìn)行傳遞。我又研究了一下它的插座，它的插座協(xié)議做的太不安全了，我可以直接偽造它的協(xié)議進(jìn)行重放。

　　我分析了一下它的協(xié)議，它發(fā)了ulink數(shù)據(jù)報，然后指令，后面是它的六個字節(jié)，再到后面是Link空格，最后是操作指令，然后是開關(guān)，它也會進(jìn)行驗證，就是發(fā)送一個本身的密碼，是默認(rèn)的888，這樣的話攻擊者完全可以遠(yuǎn)程控制它的插座，就是理解了它的流程。

　　攻擊者偽造它的MIKE，加密碼發(fā)送到云端，云端再回?fù)艄粽咭粋€包，攻擊者再發(fā)射到云端，就可以控制你的設(shè)備。

　　后面是藍(lán)牙快速融入到物聯(lián)網(wǎng)當(dāng)中，它也推出了4.0，就是低速率的傳輸協(xié)議，但是因為安卓好像是4.3支持了這個協(xié)議，但是對協(xié)議站的實現(xiàn)卻存在著一些缺陷，大家可以看到藍(lán)牙連接設(shè)備往主機(jī)發(fā)送通知包的時候沒有驗證LES長度，結(jié)果導(dǎo)致了溢出。

　　我之前寫過類似這樣的程序，我之前接收一些游戲的數(shù)據(jù)包，大部分游戲數(shù)據(jù)包是四個字體，但是突然發(fā)一個空的過來，我的整個對站都跑飛了，調(diào)了一天才調(diào)好，所以這就非常感同身受。

　　再者，講一些國外經(jīng)常用的頻段協(xié)議。在美國可能就是有80%都用的ZWAVE，它在密鑰傳輸?shù)臅r候有問題，它分了三個層：路由層、安全層和應(yīng)用層。路由層在密鑰傳輸?shù)臅r候有缺陷，就是中間人可以直接劫持，大家可以看這里，這相當(dāng)于協(xié)議來回收發(fā)的過程包。

　　它的設(shè)備為了組網(wǎng)方便，會在內(nèi)部初始化一個16個0的初始密鑰，但這個密鑰，每個設(shè)備都一樣，所以我在和設(shè)備建立加密通信的時候，中間人可以劫持兩端，然后用初始化密鑰把它發(fā)送的K給解密出來，然后通過這個K解密到它的一些通信。

　　之前Blackset上也有人發(fā)現(xiàn)，就是去年發(fā)現(xiàn)了一個實例，它和前面不太一樣，它的設(shè)備在恢復(fù)出廠模式的情況下，它沒有檢查當(dāng)前的密鑰就直接恢復(fù)了，導(dǎo)致攻擊者可以偽造密鑰建立連接。

　　最后講一下云端方面。這個我在烏云上也提交了，就是云端和客戶端兩個協(xié)議相結(jié)合，綜合利用可能會造成更大規(guī)模的事件。它的云端存在一些Web上的漏洞，可以直接控制到權(quán)限，而且它的權(quán)限比較大，是直接Root權(quán)限。

　　我前面把協(xié)議分析清楚，有很多東西就可以遠(yuǎn)程控制它的設(shè)備。它的云端幾乎就把設(shè)備上所有的信息全部存儲，而且云端上還有DIBAT模式，它可以直接升級固件，甚至黑客可以直接編一個固件，然后升級到你的設(shè)備當(dāng)中，而一直遠(yuǎn)程監(jiān)控你。

　　可能這次題目選的不好，選的太大，很多細(xì)節(jié)的東西沒法兒仔細(xì)去講，前面的演講就大致這些。這里我總結(jié)一下，傳統(tǒng)的類似315、433的設(shè)備，安全性非常差的，越來越會出現(xiàn)這個設(shè)備的單體，它的安全問題會日益改善，像閃聯(lián)的技術(shù)更多的采用到新的設(shè)備當(dāng)中，我希望相關(guān)的一些廠商在追求新技術(shù)的同時，也要兼顧下安全。