耳机也能出卖你,黑客们窃取隐私的方式到底有多不可思议?

摘要: 世界上没有绝对安全的系统。

近年来,大规模的网络安全事件频频发生。

  • 2014 年 11 月,黑客组织“和平卫士”(Guardians of Peace)公布索尼影业员工电邮,涉及公司高管薪酬和索尼非发行电影拷贝等内容。
  • 2015 年 2 月,有媒体曝出美国第二大医疗保险公司 Anthem 遭受外部攻击,导致 8000 万个人信息流出,丢失数据包括用户姓名、出生日期、客户 ID、社会保险码、地址、电话号码、邮件地址等。
  • 2016 年 5 月,一位自称“Peace_of_mind”的黑客入侵 LinkedIn,盗取了 1.67 亿电子邮件 ID 及用户的登录密码,并在暗网市场以 5 个比特币(当时约为 2200 美元)的价格出售。

另一方面,由创意机构 Rad Campaign 和研究公司 Lincoln Park Strategies 发布的一份调查报告却显示,自 2014 年以来,网络用户对于黑客攻击的担心呈下降趋势,其中担心邮件被攻击的比例从 2014 年的 71%下降到了 69%,担心在电脑上被跟踪从 73%下降到了 72%,而对于个人信息被公之于众这种最常见的黑客攻击现象的担心也从 74%下将至 71%。

曾有圈内人士表示:“现在的互联网用户大致可以分为两种,一种是被黑过的,另一种是不知道自己已经被黑过的。” 虽说以往的案例使得不少企业越发重视网络安全技术的提升,但与之对应的是,人们似乎还没有意识到,黑客们的攻击手段和方式也变得越来越不可思议。

物联网设备成为黑客攻击的跳板

随着互联网技术的发展,人们从最初的 PC 时代迈入移动互联网甚至物联网时代, 而在越来越多的智能设备接入网络的同时,也意味着黑客可选择的攻击端口也越来越多 。或许一台智能电视、智能冰箱或者联网玩具都有可能泄露你的大量的个人信息。

据外媒报道,近日黑客针对 CloudPets 制造商 Spiral Toys 的联网毛绒玩具进行攻击,成功获取大批用户的密码、电邮地址以及家长与孩子之间的 220 万个私人语音信息,并将之披露在网上。

事实上,目前市面上的物联网产品,从无线智能玩具到大吉普越野汽车,安全性普遍较差,在其智能性还没有得到体现之前往往先成为黑客们向各家网站服务器发动 DDoS 攻击的跳板。

前不久,有媒体曝出黑客入侵一家大学的 5000 多台联网设备(如智能灯泡、自动贩卖机等),并通过这些设备作为入口向该大学的校园网发动攻击,只是网络接近瘫痪。

此外,近期关于物联网黑客影响最大的莫过于去年 10 月份出现的恶意软件 Mirai,它能够自动寻找并寄生于存在漏洞的物联网设备中,将其变成僵尸网络的一部分,并能被黑客远程控制,对网站进行攻击。根据 ZoomEye 统计,Mirai 全球潜在影响面十分广,其中仅通过路由器 7547 端口漏洞所扩散出去的病毒,在英国,就有 221096 台设备受到潜在威胁,亚洲相邻的印度也有 100264 台设备受到潜在威胁。如今,被 Mirai 入侵的设备所分布的国家至少有 164 个。

现阶段,Mirai 仅仅只是利用物联网设备作为肉机对网络系统进行攻击,其危害还属于可控范围。若未来有不法分子通过技术升级,实现对交通、医疗、金融等系统的入侵,现有的防御措施根本难以生效,有可能会造成社会服务系统的部分甚至完全瘫痪。

利用电脑指示灯窃密

而在物联网之外,黑客们还有不少令人意想不到的攻击手段。前不久 粹客网 曾提到,来自以色列本·古里安大学的一个研究团队发现,想要窃取电脑资料未必一定需要通过互联网或代码,即使是 主机硬盘上的 LED 灯也有可能会出卖你的信息。

团队成员 Mordechai Guri 表示,黑客们只需要在该电脑系统上植入恶性软件,然后利用无人机等监控设备记录下 LED 灯的闪烁规律,就能远程获取数据,即使该设备从未接接入过互联网。因为 LED 灯在闪烁过程中会发出二进制信号,从而达到传递信息的效果,虽然每半小时只能传递约 1MB 的信息,但这 1MB 的机密信息已经足以发挥重要的作用。

虽然要防止这种窃密手段并不难,例如用胶布遮住 LED 灯,信号源头就会断绝。 但关键在于这种攻击方式的隐蔽性较强,因为通常情况下人们根本不会将 LED 灯的闪烁当做信息泄露的原因,这也导致这种手段基本不会留下作案痕迹。

耳机也可能会出卖你

继 LED 灯后,Mordechai Guri 团队又发现了另一个黑客们可选的攻击端口——耳机。

据了解,该团队基于一个声卡漏洞开发了一款名为 “SPEAKE(a)R” 的软件,利用它能够控制音频解码芯片,将原本是用来输出电信号的电脑音频输出接口转换为用于接收信号,从而实现窃取音频信息的目的。

在实验过程中,他们将一副不带麦克风的耳机接入电脑,然后在不远处通过其他设备播放音频,与此同时实验电脑的屏幕上也实时显示出声波波形。根据他们后续的测试,即使耳机与声源间隔 20 英尺的距离,他们也能获取到清晰的音频信息。

Guri 表示,这一漏洞无法通过推送补丁包进行修复,只能让厂商重新设计并更换应用芯片才能解决问题。而在此之前,为了让耳机不会成为一个隐藏的窃听器,建议用户在不使用耳机时将其拔掉。

大脑将成为下一个目标

如果说前面两种窃密方式让你觉得匪夷所思,那么接下来的这种手段普通消费者们可能连想都没有想过。

在前不久华盛顿大学举办的 Enigma 安全大会上,研究员 Tamara Bonaci 表示,我们的大脑也有可能成为黑客攻击的入口。Bonaci 及其研究团队曾进行过一项实验,他们发现,通过一个简单的视频游戏,可以从中测出用户的神经反应,然后收集相关的数据。这款游戏被称为《Flappy Whale》,游戏过程中会快速重复地出现某些图片,借此测试出试验者在某些方面(如宗教信仰、政治倾向、医疗状况或者是个人偏见)的潜意识反应,从中获取个人敏感信息。

这项实验采用了脑机接口技术(BCI),将七个电极安放在试验者的头部,实时测试脑电图信号,而通过图像内容结合当时试验者的大脑信号,Bonaci 团队能够推断出试验者当时的想法和感觉。

与上述诸多窃密方式不同,这种以人脑作为攻击端口的手段在某种程度上更加难以防范。Bonaci 透露:“虽说我们并不愿意将这些敏感信息与他人分享, 但是大脑所产生的电子信号却能够很真实地反应出来,而我们也极有可能在无意识的情况下将其泄露出去。”

虽然现阶段的 BCI 技术及产品还没有得到大规模应用,但在如今这个数字化趋势日益明显的时代也已经具备了一定的应用场景,例如 VR。对于 VR 头显制造商而言,利用头显设备秘密收集用户的生理反应数据并非难事,通过重复快速展示一些可以激发情绪的图片,厂商们就能够窃取到用户最隐秘的想法。

另一方面,对于那些智能穿戴设备的开发商而言,虽然采集大脑信号相对困难,但在诸如肢体动作、脉搏变化、作息时间等方面的信息采集却相当方便,人们往往只看到其对自身健康数据追踪的有利的一面,却忽略了可能因此而不经意地被窃取了更多的私人信息。

人类本身也是一个巨大的端口

圈内曾流传着这样一句名言:其实计算机并没有漏洞,漏洞往往在人身上。

所谓的系统漏洞其实都是人们自身思维漏洞的映射,而随着越来越多联网设备的出现,人类所出现的漏洞将越来越多,我们所面临的网络安全风险也会逐渐升高。而为了避免这样的情况发生,人们或许会开发出能够进行自我编程,在代码中找到并修复漏洞的具有自主进化功能的计算机系统。届时,兼备理性思维与大数据功能的智能计算机所存在的漏洞将越来越少,寻常的黑客手段难以奏效。

但这并不意味着黑客世界的终结。假设计算机设备作为人类知识的传递和储存层,当该层面变得更加牢不可破时,黑客们很可能会考虑从人体层面下手,人类本身将成为下一个突破口,而黑客所涉及的方面也将转向生物计算机系统。事实上,前面提到的 BCI 技术就已经初步涉及到这种生物黑客领域,或许在未来十年、二十年后,当我们能够轻易在身体、大脑等部位植入功能芯片,将我们自己也接入数字化世界时, 在黑客们的眼里,我们本身就是一台活动着的计算机 。

通往计算机的道路可不止一条。

更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App

本文系作者 粹客网 授权钛媒体发表,并经钛媒体编辑,转载请注明出处、作者和本文链接
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

粹客网
粹客网

关注前沿科技领域

评论(2

  • 英格 英格 2017-03-02 17:40 via pc

    以后最高端、最赚钱、最受到别人尊重的行业将会是互联网安全防御师

    0
    0
    回复
  • 一懿 一懿 2017-03-02 16:14 via pc

    长见识了。

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈