亚洲黑帽大会光年实验室亮“瑞士军刀”，让IoT设备远离黑客攻击

3月29日，在新加坡召开的全球顶级黑帽盛会“Blackhat ASIA亚洲黑帽大会”上，支付宝光年安全实验室展示了一种新的漏洞检测工具，能提前发现IOT 设备的问题，避免黑客攻击。

随着物联网（IoT）技术的发展，嵌入式设备已经渗透入各个领域，如智能家居、工业生产、智慧交通等等。虽然我们的生活变得越来越便利，不过这些设备也逐渐成为网络犯罪分子攻击的目标。

黑客一般通过系统的漏洞来入侵这些设备，甚至可能会植入木马，非法远程控制你的所有系统，包括你的手机、电视、电脑、摄像头等。如何抢在黑客前面发现这些问题，确保家庭网络安全呢？

来自支付宝光年实验室的哦耶、曲和和来自平安银河实验室的朱文哲、刘瑞恺合作提出了一种调试非linux系统的嵌入式设备的方法，同时以一款VxWorks系统的嵌入式设备为例，介绍了整个漏洞挖掘、调试和利用的过程。这一成果同时中稿Black Hat ASIA 50分钟议题(Briefings 50min)和军械库(Arsenal tools)。

据专家介绍，行业目前主要集中针在Linux系统的研究，譬如历史上攻破的路由器，绝大多数是基于Linux系统。但是，当前物联网种类繁多的嵌入式设备有着各种系统，不少非Linux系统的设备阉割了默认调试功能，阻碍了安全研究者对其深入研究。本次光年实验室首次针对基于VxWorks系统的物联网设备进行安全研究，并且首次在没有默认VxWorks调试组件的情况下实现了调试功能，同时成功完成基于VxWorks 系统的物联网设备的漏洞分析和利用。

据介绍，这一技术极大的降低了安全研究员挖掘非Linux系统嵌入式设备的门槛，有利于全球IoT安全行业整体安全水平的提高，保障普通消费者和厂商企业的数据安全。

据了解，近年来，支付宝不断加大安全投入，并组建了由多位资深安全专家组成的金融支付安全领域实验室——光年安全实验室，除致力于护航支付宝相关产品安全，同时也通过前沿的安全技术的分享来赋能外部合作商户/厂商以及生态伙伴的安全。实验室在众多国际受认可的顶级安全会议先后多次发布了极具行业影响力的安全研究成果，也获得了 Google、Apple 以及三星等多个厂商的致谢。2018 年，实验室总计获取15+个来自 Google、Apple 等重点厂商的漏洞致谢。