黎巴嫩BP机爆炸事件，如何为物联网和供应链安全敲响警钟？

作者：Sophia物联网智库原创

近日，黎巴嫩 BP 机爆炸事件在世界范围内引发广泛关注。

据外媒报道，9 月 17 日下午，黎巴嫩全国范围同时发生传呼机爆炸，造成 11 人死亡，4000 人受伤。18 日，媒体报道黎巴嫩又发生对讲机以及无线通信设备爆炸，造成 3 人死亡。

由于充当“诡雷”的是无辜的通信设备，所以通信圈和物联网圈也对该事件进行了热烈讨论——一方面，这让业内对更广泛的供应链安全进行重新思索；另一反面，在联网设备日渐普及的数字时代，设备商应如何增强普通民众的安全和信任感，也将成为一个长期议题。

“夺命”传呼机是怎么爆炸的？

如今，经过专家和媒体的梳理，已经基本上还原了此次爆炸事件的前因后果。

首先，这不是锂电池问题。一是因为此次事件的爆炸威力远超当年三星 Note7 的电池事故，而且 BP 机的电池要比手机电池更小，根本不可能引发如此大规模的灾难；二是因为通过电池自身短路或过载来引起爆炸这种方式不可控因素会比较多，同一时间引起多起爆炸更是难上加难；三是因为从以往的老旧寻呼机来看，更多的是使用干电池，而非锂电池。

基于此，事件刚发生时就有专家猜测是因为寻呼机中提前放了一些爆炸物，后续一名黎巴嫩高级安全部门消息人士证实了这一说法，并称寻呼机爆炸事件是以色列酝酿已久的一项现代“特洛伊木马”计划。

追溯整个计划的源头，还要从今年年初说起——今年 2 月，一批真主党高级特战人员被以色列精准追击后，真主党领导层左右决定回归寻呼机这一“原始”通讯技术，以躲避以色列的手机网络定位追踪。

寻呼机，或者说 BP 机，是一种早期的便携式无线通讯设备。它通过无线电信号接收信息，通常用于传递简短的消息。

在当今这个智能手机等先进通讯设备占据主导地位的时代，年轻人会对 BP 机感到十分陌生。但在战乱和信息战的背景下，BP 机相比手机有其独特的优势。

简单来说，BP 机信号强、穿透力好，甚至可以穿越墙体，一台小型 1KW 功率的寻呼台就能够覆盖方圆 40 公里的范围，无需依赖复杂的基站系统，甚至可以通过自行搭建的局域寻呼台来运营。即便是在战争中，通信基站被炸毁或网络中断，BP 机依然能够通过其简单而稳定的工作方式发挥作用。

过去几年的数次悲剧已经证明，通过手机进行定位、跟踪和袭击，早已非常普遍。因此，真主党领导人哈桑·纳斯鲁拉 (Hassan Nasrallah) 不仅禁止其成员在开会时使用手机，还严格规定，行动和计划的细节不能通过手机传达，并要求手下军官随时携带寻呼机。

然而，就是这个看似安全的决定被钻了空子，报道称，以情报部门利用了真主党转向使用寻呼机的倡议，在很早之前就成立了至少 3 家幌子公司，冒充成国际寻呼机生产商进行生产销售，将大量掺杂了炸药的寻呼机送到黎巴嫩。

为了让真主党信以为真，这个伪装的公司此前还接受了普通客户订单，生产了一批普通的寻呼机。但为真主党制造的机器是单独制造的“特供”产品，里面的电池掺有 PETN(季戊四醇四硝酸酯)炸药。曾有实验表明，仅仅 6 克的 PETN，就足以将数毫米厚的钢板炸瘪，而这次每台 BP 机里集成了 1.3 克。

纽约时报称，爆炸可能是由发送到寻呼机的信息触发的；另一种可能是，攻击者通过利用运行寻呼机内置代码中的漏洞，使电池过热并引爆炸药。

供应链安全风险再升级

通过对整个事件的还原，我们可以看出，其在技术上并不难实现，最核心的点在于爆炸物是何时被植入的，而这牵涉到整个供应链的安全。

以真主党传呼机为例，从供应链环节上看，其包括台湾制造商的本厂，台湾制造商外包/外采的所有零部件和材料供应商，组装生产过程中的所有物流环节，以及将成品运送到最终使用者手中的整个物流体系。KOL 兔主席在其文章中分析——植入爆炸物涉及将设备拆开，有一定的技术含量的，所以理论上应该更加接近供应链的上游（或生产制造端），但也不能因此排除后面的物流环节出现问题。

由于爆炸的元凶是来自台湾生产的金阿波罗 AR-924 型寻呼机，统一型号、统一生产厂商，所以第一线索自然指向了台湾金阿波罗公司，因为传呼机背面贴纸的格式与该公司的产品一致。

但是该公司火速发声明甩锅，表示：根据合作协议，“公司授权匈牙利 BAC 在特定区域内使用我们的品牌商标，但产品的设计和制造均由 BAC 全权负责”。

BAC 一看这么大的锅甩到自己头上了，那还得了，继续甩——匈牙利政府发言人佐尔坦-科瓦奇（Zoltan Kovacs）在 X 社交网络上写道，BAC 公司只是 “一家商业中介，在匈牙利没有生产或运营基地”。发言人补充说，“所指涉案机器从未出现在匈牙利领土上”，“此案也不会对国家安全构成威胁”。

值得一提的是，该事件发生后，在中国的社交网络中出现不少帖子，声称：电子，特别是通信设备方面的工厂从中东的订单激增，关键要求是完全在中华人民共和国境内使用当地部件进行生产。

其实，随着万物互联的推进，供应链安全早已成为世界各国数字化发展进程中关注的焦点。多起物联网攻击事件都发出警醒——对上游供应商发起的攻击，也将影响到下游产品厂商，尤其是涉及政府部门以及军工、电力、石油等关乎国家安全和国民经济命脉的关键领域，更将影响国家安全。

然而，即便大家能对供应链安全的重要性达成共识，但到底要把这个安全等级和标准升级到何种地步却是个问题。第一，现代社会的人类大量使用电子设备，因此不设边界，对电子设备“一刀切”是不可能的；第二，供应链本身也是个很宽泛的概念，到底要把多少环节和多少相关人员都纳入考虑才算安全？第三，安全、成本以及保持工厂正常产品制造运行——这三者之间如何取得平衡？

另外，虽然中东订单爆单，但西方国家是否会借此安全问题进一步限制中国通信电子产品的出口？

这些问题和隐忧，都会在未来的时间内逐渐浮现。

普通民众会受到多大影响？

最后再来聊聊，这个事件会对普罗大众产生什么影响？

此前，攻击硬件设备的新闻也时常见诸媒体，比如说美国用震网病毒对伊朗核设施进行攻击，这个病毒有针对性地攻击西门子的工业控制系统，在电脑显示屏幕上显示出来的离心机转速一切正常的情况下，实际操控离心机超过安全转速运转，最后导致离心机损坏。它的目标局限于伊朗破坏铀浓缩的工业离心机，而不是针对平民目标。美国人自己研发的针对电网攻击的策略，虽然停电时如果没有备用电源，可能影响到一些手术，会威胁生命，但也算是勉勉强强在游戏规则范围之内，。

但现在，针对黎巴嫩的袭击是超出规格之外的，因为他波及到了大批无辜民众的生命安全。

于是，当此事件在社交媒体上发酵之后，很多民众不免发出担忧——如果传呼机、对讲机能被遥控爆炸，手机是不是也有类似的风险？国内多家媒体对这一担忧进行了澄清，第一财经的报道称，手机植入后门芯片，难度比寻呼机高出万倍。

不过，专家们也强调，普通民用级电子产品，也有可能通过改装造成损坏或制造安全隐患。比如，有可能通过改造设备固件，让电子产品植入有害程序，电脑、手机、机顶盒，甚至汽车部件都有可能。以前发生过，有黑客用恶意软件攻击打印机，造成打印机高温，可能引发火灾。“现在的车联网有较多风险，比如远程关闭电源，熄火，控制车内功能，都能实现。”

援引《每日经济新闻》记者采访 DARKNAVY·深蓝的网络安全专家李忠睿的评价，他认为公众不必对此产生恐慌。“从实际案例来看，尽管目前存在一些对充电桩等工控设备的攻击，但针对手机或者汽车的电池部分的网络攻击仍然是罕见的。并且，目前的手机和新能源汽车厂商在安全方面是比较重视的，要攻破它们的手机、汽车的一些系统不仅难度很大，攻击的成本也非常高。各企业及政府的各种监管部门应持有重视的态度，尽可能地保证目前各常用设备的安全性，同时，各供应链在生产产品时也要进行监管，从而杜绝被不法分子利用的可能性。对于普通民众来说，则需具备一些安全常识，不应随便去点击一些骚扰短信中的链接等。”