互聯(lián)網(wǎng)圈有一個(gè)定律：一個(gè)牛人，會(huì)吸引來一群牛人。

這個(gè)道理特別適用于騰訊安全玄武實(shí)驗(yàn)室。

又到了向安全行業(yè)以外的群眾安利一個(gè)“TK教主”的環(huán)節(jié)：于旸，人稱“ TK 教主”，是國內(nèi)頂尖白帽黑客之一，從事信息安全研究 17 年。

從醫(yī)學(xué)界“婦科圣手”轉(zhuǎn)行到安全圈以來，他一直頗受各界男女老少的喜愛，上能給奧運(yùn)會(huì)信息網(wǎng)絡(luò)安全指揮部當(dāng)技術(shù)專家，下能接地氣在新浪微博當(dāng)一名網(wǎng)紅科普博主。

▲TK教主

那么，他帶領(lǐng)的一群牛人平常做點(diǎn)什么呢？

一件事：挖漏洞。

兩件事：挖最牛逼的漏洞。

騰訊安全玄武實(shí)驗(yàn)室官方解釋的工作范圍是：“專注研究各類漏洞的挖掘、利用、檢測、防御，以及涉及硬件、無線等方面的復(fù)合安全風(fēng)險(xiǎn)，先后幫助眾多行業(yè)修復(fù)重大安全漏洞?！?/p>

具體有多牛逼呢？

2018 年初，玄武實(shí)驗(yàn)室披露了影響國內(nèi)大量安卓 App 的“應(yīng)用克隆”攻擊模型，通過 CNCERT (國家互聯(lián)網(wǎng)應(yīng)急中心)向 App 廠商通報(bào)了這個(gè)情況，并提出了解決方案。

以一個(gè)主流支付類 App 為例，未修補(bǔ)這個(gè)漏洞前，在升級(jí)到最新安卓 8.1.0 的手機(jī)上，利用 App 自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信。用戶一旦點(diǎn)擊，其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進(jìn)行消費(fèi)。

玄武實(shí)驗(yàn)室在 200 個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn) 27 個(gè)存在漏洞，都是主流 App ，因此，很多廠商經(jīng)歷了一場地震式的修復(fù)和緊張的公關(guān)大戰(zhàn)。

去年 10 月，騰訊安全玄武實(shí)驗(yàn)室披露了在安卓手機(jī)中普遍應(yīng)用的屏下指紋技術(shù)的嚴(yán)重漏洞——“殘跡重用”漏洞，由于漏洞影響大，他們在發(fā)布這個(gè)消息前就聯(lián)合手機(jī)上下游廠商修復(fù)了這個(gè)漏洞。

后來，他們又在世界頂級(jí)黑客盛會(huì) Black Hat 2019上演示了對(duì)Face ID 的研究成果。

馬彬和陳昱是玄武實(shí)驗(yàn)室的安全研究員，專攻生物識(shí)別，研究 Face ID之前，他們接到了一個(gè) 2D 人臉識(shí)別產(chǎn)品的安全測試任務(wù)。

他們最初使用打印出來的高清照片一直破解失敗，于是，馬彬通過一系列逆向分析去尋找原因，發(fā)現(xiàn)識(shí)別算法中存在一些有關(guān)識(shí)別矩形邊框的邏輯。于是，靈機(jī)一動(dòng)的陳昱把打印出來的高清照片的直角邊剪成鋸齒狀，放到三腳架上用手機(jī)對(duì)著識(shí)別，順利通過了這套人臉識(shí)別系統(tǒng)。

當(dāng)然，對(duì) Face ID 的破解要難多了。蘋果公司在 iPhone 的 Face ID 人臉識(shí)別系統(tǒng)中，使用了注視檢測這一活體檢測功能，該功能要求用戶眼睛睜開而且正視手機(jī)時(shí)才允許解鎖。

兩個(gè)研究員發(fā)現(xiàn)，平時(shí)戴著眼鏡也能通過 Face ID 解鎖手機(jī)。而當(dāng) Face ID 識(shí)別到用戶戴著眼鏡時(shí)，就會(huì)自動(dòng)跳過對(duì)眼部區(qū)域 3D 信息的提取，所以只需要找到 Face ID 如何掃描用戶眼睛進(jìn)行活體檢測，就能完成破解。 

于是，他們制作了一副眼鏡原型——X-Glasses 以模仿眼睛的構(gòu)造，并將這款特殊的眼鏡戴在模擬者臉上，成功“欺騙” Face ID，解鎖手機(jī)。

今年 10 月 24 日，陳昱又做了驚人的破解：攻破屏下超聲波、傳統(tǒng)光學(xué)、屏下光學(xué)、電容指紋識(shí)別技術(shù)。

在觀眾接觸過一個(gè)玻璃水杯后，陳昱先是拿出手機(jī)拍攝觀眾留存在水杯上的指紋，隨后在手機(jī)上調(diào)試之后“克隆”了一個(gè)全新的指紋，利用這個(gè)“新指紋”通過了該觀眾提前錄好指紋的 3 臺(tái)手機(jī)和 2 臺(tái)考勤機(jī)的指紋識(shí)別。

這次攻擊成本加在一起才1000多元，軟件只是一部手機(jī)、一個(gè)指紋破解 App，當(dāng)然了，核心技術(shù)可能就是這個(gè)神秘的破解 App 了。

不過，在吃瓜群眾猛拍小手，對(duì)這個(gè)破解項(xiàng)目表示驚嘆之余，TK 教主在隔壁的采訪間悄悄告訴雷鋒網(wǎng)：“我們希望有些驚爆的東西出來。但有時(shí)候，太驚爆的東西，我們要考慮人民群眾的承受能力。我們到極棒上來的項(xiàng)目，甚至不是我們最驚爆的東西。”

那又是什么？來看看 TK 教主的回答，和雷鋒網(wǎng)一起挖掘一個(gè)牛人如何帶領(lǐng)一幫牛人在做什么驚天項(xiàng)目的故事。

1.為什么選擇帶這些項(xiàng)目到極棒上做破解？

TK 教主：以去年屏下指紋的問題為例，我們之所以拿出來，是因?yàn)槲覀円呀?jīng)在前半年協(xié)助全中國的廠商修復(fù)了這個(gè)問題，否則，那是非?？膳碌囊粋€(gè)問題，它的攻擊成本非常低，沒有什么門檻。

現(xiàn)場我們跟主持人說怎么搞，幾句話就教會(huì)了。主持人親自動(dòng)手，不需要?jiǎng)e人協(xié)助，就完成了這樣一種攻擊。

今年的破解項(xiàng)目從技術(shù)上看是去年項(xiàng)目的升級(jí)版，但在技術(shù)上沒有直接關(guān)聯(lián)，我們用一套技術(shù)可以繞過基本目前所有的指紋識(shí)別技術(shù)。也就是說，我們仿真出來的東西跟真的可能沒有什么區(qū)別。

跟去年不一樣的是，今年的破解項(xiàng)目技術(shù)門檻非常高，是真正技術(shù)難度的挑戰(zhàn)。去年的操作原理很簡單，一旦知道了以后，人人可為。今年的破解項(xiàng)目上，大家都能想到思路，人人都知道指紋是可以提取的，但把提取的指紋還原到手指的樣子，難度很高，所以大家也不用太恐懼。

大家看電視上那些跑酷項(xiàng)目，跑酷的人徒手上三四層樓，從陽臺(tái)翻進(jìn)我家，看起來超級(jí)簡單，但跑酷這件事情，不是什么人都能干，這是同一個(gè)道理。

2.你們好像最近一直在做指紋、聲紋、人臉識(shí)別等，玄武實(shí)驗(yàn)室的研究方向到底是什么？

TK 教主：你剛才說的人臉相關(guān)的技術(shù)，不只是 FaceID，我們的研究包含了各種跟人臉相關(guān)的東西。因?yàn)榇蠹乙豢吹?“FaceID” 這個(gè)詞就很關(guān)注，其實(shí)這只是當(dāng)時(shí)我們演講里很不起眼的其中一點(diǎn)。這些技術(shù)都跟身份認(rèn)證、支付安全相關(guān)，是我們實(shí)驗(yàn)室很重要的一個(gè)研究方向，因?yàn)槲覀冃枰獮橹Ц稑I(yè)務(wù)保駕護(hù)航。我們研究這些，就要探索安全邊界在哪里，因?yàn)橹挥刑剿鞯竭吔?，才知道安全區(qū)域是什么地方。這樣我們才能劃出一個(gè)安全區(qū)間，給相關(guān)業(yè)務(wù)保駕護(hù)航，你有探索邊緣的能力的時(shí)候，才能給疆土內(nèi)保駕護(hù)航。

我們實(shí)驗(yàn)室現(xiàn)在有不到 30 個(gè)人。我們分三個(gè)大組。一是生態(tài)安全組，研究與騰訊用戶生態(tài)相關(guān)的東西；一是基礎(chǔ)安全研究組，研究和安全底層技術(shù)有關(guān)的東西，為整個(gè)實(shí)驗(yàn)室提供能力的支撐；一是前沿安全研究組，10 月 24 日上臺(tái)的同學(xué)就是前沿安全研究組的，這是我直接帶的一個(gè)組，對(duì)剛才我們提到的生物識(shí)別、硬件、移動(dòng)相關(guān)的技術(shù)往前做的探索性的工作。

我們整體的研究方向，可以從技術(shù)和業(yè)務(wù)兩個(gè)角度看：從業(yè)務(wù)維度看，我們會(huì)關(guān)注云業(yè)務(wù)、支付業(yè)務(wù)、即時(shí)通信業(yè)務(wù)。從技術(shù)方向看，我們對(duì)網(wǎng)絡(luò)、Web、操作系統(tǒng)、硬件、生物認(rèn)證都會(huì)關(guān)注。

3.所以這些就是幫微信支付做的？

TK 教主：微信支付是我們一個(gè)內(nèi)部服務(wù)對(duì)象。

4.聽說你們還在幫騰訊 B 端的業(yè)務(wù)做支撐，是哪些？

TK 教主：我們還有很重要的一個(gè)研究方向是云安全。云安全可能不是極棒的關(guān)注對(duì)象，但是，是我們很重要的研究方向。今年我們在騰訊內(nèi)部，對(duì)云這塊已經(jīng)做了很多工作，只不過這部分工作可能是不為人所知的。

我們實(shí)驗(yàn)室有兩部分的責(zé)任或職能。一部分是對(duì)騰訊內(nèi)部核心業(yè)務(wù)的保駕護(hù)航，也有一些外部客戶，我們也會(huì)用我們的能力。因?yàn)檗D(zhuǎn)向產(chǎn)業(yè)互聯(lián)網(wǎng)之前，大部分的能力我們是放在內(nèi)部，對(duì)內(nèi)的，現(xiàn)在我們會(huì)分出一部分的能力去服務(wù)于外部客戶。

我們在走一些相對(duì)比較中間的路線，會(huì)基于自己的產(chǎn)品，對(duì)外提供服務(wù)。目前我們正在研發(fā)的打算對(duì)外提供的是放在云上的東西。已經(jīng)落地的是我們自己做的一些工具類產(chǎn)品，基于這些產(chǎn)品，我們目前主要為國內(nèi)的手機(jī)廠商提供服務(wù)。

5.你們要幫助云安全團(tuán)隊(duì)做紅藍(lán)軍對(duì)抗嗎？

TK 教主：這只是一方面，也有一些正在做的項(xiàng)目，也許可以讓大家知道，在不久的未來，大家能知道一點(diǎn)。我們跟騰訊云的合作目前是云的基礎(chǔ)架構(gòu)的安全和云上業(yè)務(wù)的安全。

6.和小米的合作主要在哪個(gè)層面？

TK 教主：目前我們和小米的合作落地在手機(jī)產(chǎn)品上，手機(jī)產(chǎn)品中的安全內(nèi)容。

7.你曾提到，搞研究要保持產(chǎn)出，要有個(gè) idea 池。維持一個(gè)至少夠用三五年的 idea 池，可以做到手里有糧，心里不慌，要多看多查多想，經(jīng)常補(bǔ)充 idea 池的水位，最近你從池子里拿了什么出來做研究？

TK 教主：我們實(shí)驗(yàn)室的很多研究是從我的 idea 的池子里來的。2015 年，我們當(dāng)時(shí)搞了條碼閱讀器的研究，那是我很多年前的一個(gè)idea，去年的屏下指紋也差不多是我在閱讀相關(guān)資料時(shí)想到的一個(gè)點(diǎn)。還有一些是我們面向內(nèi)部的研究，不便在這里講。我們現(xiàn)在正在進(jìn)行的一些研究是基于去年4、5月份的一個(gè)idea 。

8.明年會(huì)有展示嗎？

TK 教主：還不好說，還在做。產(chǎn)生這些 idea，需要基于你自己對(duì)技術(shù)的了解，我會(huì)花一部分時(shí)間去看各種不同的技術(shù)，然后思考其中跟安全可能有關(guān)的地方，這是我很重要的一個(gè)方向的工作。

（編者注：TK 教主的這些 idea 都是寫在本子上，不是儲(chǔ)存在計(jì)算機(jī)里，打掃衛(wèi)生的阿姨如果在騰訊看到一個(gè)常年穿著 T 恤的大漢的辦公桌上有一些奇奇怪怪只寫了幾句話的紙條，請注意，不要丟棄，這是 TK 教主的靈感≈“KPI”。 ）

9.不同支線之間的技術(shù)會(huì)給你帶來新的靈感嗎？

TK 教主：這是非常重要的。我對(duì)各種不同的科技都比較感興趣，而且在我的工作中，也確實(shí)發(fā)現(xiàn)我了解的各種各樣的不同門類、學(xué)科的技術(shù)會(huì)對(duì)我的網(wǎng)絡(luò)安全研究工作帶來很大的幫助，無論是思路上，甚至是很直接的東西，我在有些研究中會(huì)很直接地用上對(duì)其他方面的了解。比如具體到 10 月 24 日上，玄武實(shí)驗(yàn)室的研究者遇到了一些問題，我對(duì)機(jī)械工藝跟材料學(xué)都比較熟悉，就可以給他提供一些幫助。

10.實(shí)驗(yàn)室里的年輕研究者如果遇到研究上的瓶頸，你怎么幫助他？

TK 教主：這是我很重要的一個(gè)工作。每個(gè)人有不同的性格，不同的狀態(tài)。確實(shí)會(huì)在人生發(fā)展過程中，在他們的技術(shù)道路上，大部分人都會(huì)遇到自己的瓶頸，而且可能在不同階段會(huì)遇到不止一個(gè)，這是因人而異的。

佛教里有個(gè)概念是“障”，我們要破這個(gè)“障”，需要我根據(jù)他當(dāng)前遇到的問題告訴他，你遇到的問題其實(shí)它的本質(zhì)是什么，如果是性格上的問題，你就要破性格方面的一些問題，或是信心的問題。

安全研究有個(gè)特點(diǎn)，你做的事情都是別人認(rèn)為不可能的，如果別人認(rèn)為可能，別人就做了。你做的都是“逆天”的事情，所以很容易在做的時(shí)候陷入自我懷疑，這樣可以嗎？會(huì)不會(huì)忙了半天白費(fèi)力氣？

這是一種常見的“障”，要破這個(gè)“障”，首先要相信這個(gè)事情，一定是 OK 的，怎樣幫人樹立信心，這是我要做的工作。

11.要樹立信心，破這個(gè)“障”，或者遇到一個(gè)特別慫的研究員，你會(huì)慫恿他去蹦個(gè)極嗎？

（編者注：這個(gè)問題不是雷鋒網(wǎng)問的，但 TK 教主的答案很有意思。）

TK 教主：不用這么極端的方法。自實(shí)驗(yàn)室建立以來，我給大家的方向，迄今為止所有的方向，最后被證明了不可行的，只有一次，我告訴你可以做的，基本都可以做。那一次“不可行”是什么原因呢？我們后來發(fā)現(xiàn)，當(dāng)時(shí)那個(gè)同事沒有做出來，但若干年后國外一個(gè)研究者稍微變化了角度以后，做出來了，大方向還是可行的。

我們不會(huì)用蹦極這種方式，還是具體到工作本身來談。比如遇到困難，我會(huì)幫他把下一步的可能性再梳理一遍，還有哪些點(diǎn)你還沒有看，我會(huì)幫他規(guī)劃。大部分人覺得畏縮不前的時(shí)候，是因?yàn)榭吹锰h(yuǎn)了，比如看到太平洋那邊。我會(huì)說，你不要先說造船，先試一試能不能砍倒這棵樹，樹砍倒了，把樹皮削完，再砍一棵樹，重復(fù)這個(gè)過程，再看能不能造一艘船，一步步來，分解以后，他就會(huì)覺得，這好像是可達(dá)到的。

▲TK 教主在極棒 2019 現(xiàn)場

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。