无线电遥控器传安全漏洞 当中潜藏5大攻击手法

随着企业操作科技（OT）自动化的程度越来越高，原先封闭的环境可能为此与IT环境和因特网连接，再加上黑客攻击的门坎逐年降低，已非高不可攀。在这样的态势下，原先大家普遍认为，长年持续运作的操作科技，理应不致遭遇到资安威胁，实际上却可能潜藏了相当严重的漏洞。而这样的威胁，不只各资安厂商的年度报告中都特别提及，今年的资安大会上，有许多专家也表示他们的看法，其中不少是关注在操作科技的环境里，装置长期缺乏修补资安漏洞，以及操作科技环境缺乏有关管理的议题。不过，除了操作科技的控制设备里，含有长年未修补的漏洞之外，能够用来远程操作的无线电（RF）遥控器，其实同样隐含被黑客滥用的危机。自2018年底，趋势科技资深威胁研究员Philippe Lin就在HITCON Pacific大会上，揭露如何发现这种遥控器的漏洞，而于今年3月举办的资安大会，他继续强调无线电遥控器潜在的资安问题，并且从讯号滥用到韧体的供应链攻击，指出可能存在的5种弱点。图中由左至右依序为2款4G路由器，以及工业用的无线电遥控器，随着操作科技与因特网连接的情况变得普遍，黑客可透过左边或中间的路由器，对遥控器进行攻击。2款4G路由器的差异在于，左边为Arduino开发板加工而成，较中间现成产品的成本更低。

无须自行设计并制作作案工具，犯案门坎大幅降低

这里所提到的无线电遥控器，在工业环境中运用相当广泛，包含天车、移重式升降机、水泥帮浦、农业自动化耕作、自动化码头、采矿，以及工业自动化等环境中。Philippe Lin说，他们粗估这种工业用的无线电遥控器，每年约有至少2,000万美元的市场，一旦被黑客盯上，发动相关攻击，影响的范围便难以估计。由于过往开发工业用的遥控器设备，都是从硬件开发的方式着手，建置成本极高，黑客想要发动攻击，伪造能控制受害设备的第2个遥控器，也同样要付出相当高的代价。虽然技术上或许可以做得到，但黑客必须面临到高昂的前置成本，而且在开发前述的遥控器上，也存在相当程度的技术门坎。不过，无线电的技术这几年发展下来，情势已经出现了明显的变化──自从2008年开始，有了软件定义无线电（SDR）设备之后，黑客只要透过现成的装置，就能进行攻击，不需要自行从头开发、制作专门的工具。Philippe Lin表示，像是提供研究无线电专用的USB装置YardStick1，黑客就能拿来滥用，而这款装置只要99美元就能取得。

而现在，随着4G网络的应用极为普遍，加上创客文化和开发板的盛行，Philippe Lin的研究团队实验过程中，进一步利用开发板，拼凑出小型的4G中间设备RFQuack，外观类似外接式的USB无线网络卡。黑客若是将这种装置刻意摆设在工厂角落，就有机会从远程下达攻击命令。而他们组装这款装置的费用，仅为40美元，不光比上述的YardStick1更便宜，还能让黑客在攻击的过程中，不需到现场就能操作。相较于20年前，黑客必须从设计到制造，自行做出专属的硬件，如今却只要使用YardStick1等现成装置，就可以发动攻击，门坎可说是非常低廉。没有随之演进的操作科技安全，在上述黑客攻击手法已经出现大幅变化下，显得特别危险，同时，Philippe Lin所属研究团队也发现，即使不甚复杂的攻击手法，像是重放攻击，至今却仍然能够大肆滥用。

 

无线电讯号滥用可假传指令，甚至带来工安危险

这里所提到的重放攻击，就是黑客将遥控器所发出的无线电讯号复制，再用来对被控端下达命令Philippe Lin说，理论上，遥控器的制造商在设计设备时，应该要纳入滚码机制，来保护发送的无线电讯号不能被直接盗用，遥控器虽然下达了多次相同的指令，但实际上每组电波的封包内容都会不同。假如黑客侧录了其中一次的讯号，日后想要用来重放攻击，由于与接收器认为应该收到的讯号不符，攻击者便无法操作被控端。然而，在Philippe Lin实验取得的7个厂牌遥控器中，竟全部都能滥用重放攻击手法，向被控端下达特定的命令。不只是前述的重放攻击，即使是对于拥有滚码防护机制的遥控器设备，黑客也可能进一步逆向工程破解，伪造出指令讯号；若是结合这两种型态的攻击手法，则可以不断发送紧急停止的命令，而造成无法控制的情况。

滥用紧急停止命令的手法又可再区分成两种，一种是发送大量指令，演变成阻断服务（DoS）攻击；另一种则是针对设备韧体设计不良，所造成的失控情形，在操作员按下紧急停止按钮之后，黑客仍旧可向受控设备下达各种命令，导致更严重的工安事故。再者，遥控器与接收器的配对，同样有机会被拿来滥用，这种手法称为恶意配对，使得原本的遥控器失去控制的能力，进而成为另一种发动攻击的管道。但Philippe Lin指出，上述的4种攻击，最大的限制还是要在厂房附近发动，但若要变成远程操作的网络攻击，其实并不难。例如，黑客使用极为不起眼的小型4G路由器，就可以在远程进行攻击，而且在工厂或是工地里，在暗处摆放这种路由器通常难以被发现。除了无线讯号本身的操控之外，黑客可间接透过刻录自定义韧体的计算机，进行供应链攻击，使得设备更新韧体之后，有可能变得错乱而无法正常运作。

 

防治无线电遥控器成攻击目标，有待从开发流程就纳入资安

针对上述所提及的攻击，Philippe Lin说，重放攻击与紧急停止的阻断服务攻击，可透过更新具有滚码机制的韧体解决，尤其是一般市面上的汽车钥匙或是铁卷门控制器，都提供这种机制，他认为，厂商要在遥控器韧体加入相关功能的难度并不高。不过，由于必须一台一台更新，因此真正的困难之处，恐怕是在召回待更新韧体的遥控器。而对于黑客伪造指令和恶意配对的手法，则是因为遥控器加密的强度不足，甚至是缺乏有关机制，理论上也是要升级韧体，但Philippe Lin指出，有些设备本身没有加密算法所需的运算芯片，因此连带也要升级硬件，导致成本大幅增加。至于供应链攻击，除了要保护修改韧体的计算机，加强端点防护，也牵涉嵌入式韧体安全。但由于这些遥控器一旦被发现漏洞，往往不易修补，Philippe Lin指出，信息安全要从设备的设计与采购的时候，就纳入考虑，厂商和企业的资安意识就很重要。

 

无线电设备资安研究不易，有待制造商良性互动

其实，有别于许多资安研究，无线电遥控器领域的门坎，其实相当的高。但在这样的情势下，他们委由漏洞奖励计划组织Zero Day Initiative（ZDI）通报制造商，得到的反应却可能相当消极，认为资安人员在找麻烦。因此，Philippe Lin也揭露他们研究过程里，与一般资安研究的差异，希望厂商接获漏洞通报时，能够认真看待并予以处理。Philippe Lin表示，在他们研究的过程中，首先，资安人员会面临有关电信法规的要求，必须事先向行政院国家通讯传播委员会（NCC）报备才行，否则很有可能会面临触法的危险。再者，则是在模拟环境上，往往无法直接采用实际的工业设备，因此在研究的过程里，他们将无线电遥控器与起重机模型连接。企业看待资安漏洞的通报，还是要采取积极因应的态度，这些资安研究才能促成更安全的设备。