上期唠“科”结束之后，有新来的PWN友问PWN君，现在通勤路上的红绿灯太多了，一个红灯就要等几分钟，有没有可能控制红绿灯，让自己一路绿灯？他说电影《偷天换日》和《速度与激情》里的黑客敲敲键盘，就能把交通系统玩弄于股掌之中，还能让整个城市的交通都陷入瘫痪……

PWN君在这里先要友情提醒：互联网不是法外之地。就算电影里的情节的确能成真，也不会有人傻到为了一路通行顺畅而去黑掉红绿灯系统，除非想进去跟吴某某一起踩缝纫机。毕竟交通信号灯属于公共设施，攻击公共设施是妥妥的违法犯罪行为。所以大PWN友这种天真的想法得先掐灭在萌芽里，可不兴在网上乱说。

不论是在我国还是在其他国家，针对关键基础设施都有较为完善的立法保护。我国2021年9月1日起施行的《关键信息基础设施安全保护条例》规定，任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全；未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。如果违反规定，将根据《中华人民共和国网络安全法》和《中华人民共和国刑法》作出相应处罚，轻则拘留5天甚至并处罚款5-50万，重则需要承担民事、刑事责任。

所以电影里的那些黑客要是放到现在，至少踩三年缝纫机起步……

我们再从技术层面说说控制红绿灯这件事。理论上来说，红绿灯也就是交通信号灯确实存在被破坏分子控制的可能。交通信号控制系统基本由交通信号中心控制软件、智能交通信号控制机（检测及控制设备）、交通信号灯、通信网络及通信设备这几部分组成。与其他物联网设备一样，软件和硬件本身可能存在一些漏洞；而网络接入和传输过程中，一些协议或端口的设计可能不够完善或没有充分考虑到安全因素，容易被趁虚而入。毕竟在公共区域有千千万万的设施，很难保证万无一失。

2014年，密歇根大学的研究人员就发现交通控制系统本身存在一些缺陷。使用没有加密的无线信号控制交通灯，信号很容易被截获、伪造；控制系统使用默认用户名和密码，就像很多人登陆平台使用 admin 作账户名，用 123456 做密码一样，也很容易被其他人登陆去搞事情；另外设备的调试端口也有安全问题。研究人员获取了交管部门的允许之后，在一家小镇进行测试，发现只用一台笔记本电脑和一根天线，就能入侵交通信号灯控制系统，直接控制100多个红绿灯。

2020年，研究人员又发现全球最大的信号灯制造商SWARCO公司所生产的一款交通灯控制器存在一个专为调试设计的开放端口，就像很多设备会留下便于维修操作的后门。攻击者能通过这个端口获得对设备的 root 访问权限，直接控制设备。幸运的是，这个端口没有暴露在互联网上，需要接近控制器，物理访问之后才能操纵信号灯。当然，这个漏洞发现之后就很快被修复了，毕竟是牵涉到公众生命财产安全的问题，响应还是很快的。

就目前的情况来看，法律法规对于公共基础设施的保护规定较为严格，想要利用漏洞入侵则需要一定的技术门槛和很高的成本，所以控制全城的交通信号灯这种事情，基本只能也只会出现在电影里。

什么？你问《速度与激情》里的全城汽车集体失控是怎么回事儿？这个问题我们下次再唠。

有更多关于电影或者热门视频的疑惑，欢迎在评论区留言或私聊PWN君，PWN君来为你答疑解惑～

关注GeekPwn，离安全更近一点。我们下期见～

GeekPwn 国际安全极客大赛积极推动各领域的网络安全发展、鼓励前沿技术的安全创新，以可视化舞台形式展现极客技术、促进提升大众安全意识。九年来，GeekPwn见证了数千名参赛选手的成长，负责任地披露了1000多个安全漏洞。2022年，GeekPwn将继续记录极客故事、见证极客力量。