讲真，当阿里安全研究员五达跟我揭秘他是如何通过摄像头、风扇来模拟“红外线信号”发射器，成功黑进电视机、空调时，我是懵逼的。

后来，我转念一想，毕竟他是搞出了一个“看片神器”的男人啊（雷锋网老文新推《这个黑客搞出了一个看片神器，水印去无踪｜Black Hat USA 2018》）。

就是这个以身试神器的男人——五达

勇攀高峰，不走寻常路搞研究，说的就是五达。

上一次，五达搞古典乐团，从而想到了维护乐团视频的原创性。这一次，我很怀疑他的这项神奇的研究是从“走近科学”开始的。

有一天，辛勤工作的安全研究员五达通过通宵奋战，还是想不到接下来自己要破解什么新东东时，感受到了清晨的一缕阳光。此时，正是万物苏醒，五达精神一振：光！

太阳光分为分为可见光与不可见光。可见光的波长为400～760nm，散射后分为红、橙、黄、绿、青、蓝、紫7色，集中起来则为白光。不可见光又分为2种：位于红光之外区的叫红外线，波长大于760nm，最长达5300nm，位于紫光之外区的叫紫外线，波长290～400nm。

紫外线可以杀菌，红外线则有巨大的热效应。聪明的人类还利用红外线干了一件事：红外线遥控器，通过不同频率的红外线闪动，“指挥”电视机、空调等工作。

如果这些电视机、空调没有联网，是否可能被入侵？五达的灵感来了：一个看似没有安全风险点的挑战项目——没有联网的传统设备可能有安全风险，被黑客入侵吗？

五达想到了两种方法：

如果红外线遥控器控制的电视机、空调、家用摄像头同处一室，以这个家用摄像头为跳板，可以入侵电视、空调。

如果没有摄像头，有一台风扇也行。

第一种方法

首先，你要了解红外遥控器“说出的语言”：它发出的红外光是多长波长的光？是以什么样的频次对电视机发出何种指令？

五达借助了三星Galaxy S10手机的“super slow motion”功能，正常摄像机的拍摄速度是 30 帧/每秒，但这个“super slow motion”可以慢到 960 帧/每秒。他利用这个功能录制了遥控器与电视机通过红外信号通讯的过程，并分析出对应红外光闪动频率的“语言”。

至此，你可以把这个手机理解为“信号分析仪”。

五达发现，红外光要以38000次/秒的频率闪动，才能发出有效可激活的信号，并需要用过滤器过滤太阳光中存在的红外光，也就是说，过滤其他频次的杂信号。

此外，这种红外光必须是 940 nm的光。

那么，问题来了：与电视机同处一室的家用摄像头发出的红外光波长是否达到 940 nm？黑客黑进摄像头后，能否让摄像头发出 38000次/秒的红外光？

五达发现，XX品牌的摄像头发出的刚好是这种波长的红外光，摄像头被控制后也能发出这种频次的光。