外媒：掃二維碼、拍照或可招來網(wǎng)上“潛伏間諜”

2017-10-16 15:36:51 來源：中國物聯(lián)網(wǎng) 熱度:

近日，北達科他州立大學(xué)計算機科學(xué)副教授杰里米·斯特勞布(Jeremy Straub)在解釋型新聞網(wǎng)The Conversation發(fā)表文章稱，你可能被告知過在你的郵箱打開不明附件可能會帶來危險——就像你不該打開你的信箱中的可疑包裹那樣。但你有沒有被警告過不要掃描來歷不明的二維碼，或者不要用你的手機拍照呢?新研究發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊者可能會從手機及其它設(shè)備中的攝像頭和傳感器著手來進行攻擊。

作為3D建模研究者(工作包括評估3D打印的物體，確保它們符合質(zhì)量標(biāo)準(zhǔn))，我知道將惡意計算機代碼存儲在現(xiàn)實世界的手段容易帶來傷害。我們的團隊是在實驗室里工作，還沒有碰到過惡意軟件隱藏在3D打印指令或者被編碼到被掃描物品的架構(gòu)中的情況。但我們正在準(zhǔn)備應(yīng)對那種可能性。

目前，那不大可能會發(fā)生在我們身上：攻擊者需要費很大的功夫?qū)ｉT了解我們的系統(tǒng)功能，才能夠成功實施攻擊。然而，有朝一日，入侵會能夠通過與電腦或智能手機的正常通訊或者通過那些設(shè)備的感應(yīng)發(fā)生。產(chǎn)品設(shè)計師和用戶需要認(rèn)識到那些風(fēng)險。

病毒感染

要使得設(shè)備感染病毒，不法分子得找到某種方法來使得電腦存儲或者運行惡意軟件。電腦面前的人往往會成為被攻擊的目標(biāo)。攻擊者可能會發(fā)出電子郵件告訴電腦用戶，他們中了彩票，又或者如果不回復(fù)監(jiān)管員的話他們將會遭遇麻煩。在其它的情況中，病毒被設(shè)計得不知不覺地被平常的軟件活動觸發(fā)。

華盛頓大學(xué)研究人員最近測試了另一種可能性：將電腦病毒嵌入DNA。好消息是，大多數(shù)的電腦都不會染上來自惡意軟件、植入生物病毒的電子病毒。DNA感染過往是對攻擊可讀取存儲于DNA的數(shù)字資料的電腦的概念的一種測試。

同樣地，當(dāng)我們的團隊掃描3D打印的物品的時候，我們同時從我們收集的圖像存儲和處理數(shù)據(jù)。如果攻擊者專門去分析我們是如何完成該項工作的，他們有可能會發(fā)現(xiàn)我們有操作步驟容易被破損數(shù)據(jù)破壞。接著，他們要專門設(shè)計一個物體來讓我們?nèi)呙瑁沟梦覀兘邮盏侥切?shù)據(jù)。

言歸正傳，當(dāng)你掃描二維碼的時候，你的計算機或者手機會處理二維碼中的數(shù)據(jù)，然后進行某種行動——或許發(fā)出電子郵件，或者前往特定的網(wǎng)址。攻擊者可能會發(fā)現(xiàn)掃碼應(yīng)用存在漏洞，可讓特定精確格式化文本被執(zhí)行，而不只是被掃描和處理。又或者，在目標(biāo)網(wǎng)站可能有某種東西等著侵害你的手機。

傳感器不算精確

好消息是，大多數(shù)的傳感器都沒有DNA測序儀那么精確。例如，兩個不同的手機攝像頭對準(zhǔn)同一個物體，由于照明、攝像頭位置和拉近距離的差異，會收集到不同的信息。即便是很小的偏差，可能都會讓編碼的惡意軟件無法運行，因為被感測到的數(shù)據(jù)并不總是能夠準(zhǔn)確轉(zhuǎn)變成可行的軟件。因此，人們的手機不大可能會僅僅因為拍了張照片而被侵入。

然而，有的系統(tǒng)，比如二維碼讀取器，包含修正感測數(shù)據(jù)異常情況的功能。當(dāng)感測環(huán)境高度可控的時候，比如我們最近評估3D打印的工作，攻擊者會相對容易更具預(yù)見性地影響傳感器的讀數(shù)。

也許，最麻煩的情況是，攻擊者能夠通過感應(yīng)形成進入原本十分安全、難以被攻擊的系統(tǒng)的通道。例如，為了防止我們的3D打印質(zhì)量感測系統(tǒng)被常規(guī)的攻擊感染，我們提議將它置于另一臺與互聯(lián)網(wǎng)和其它的潛在網(wǎng)絡(luò)攻擊來源隔離的計算機上。但系統(tǒng)還時得掃描3D打印的物體。被惡意設(shè)計的物體可能會是攻擊這種本來脫離外部的系統(tǒng)的一種方式。

篩查預(yù)防

很多軟件開發(fā)者還沒有考慮黑客控制感測數(shù)據(jù)的可能性。但2011年，伊朗政府黑客正是通過這種方式俘獲美國的無人偵察機。程序員和電腦管理員必須要確保感測數(shù)據(jù)在被安全處理之前經(jīng)過篩查，以便防止意想不到的劫持事故。

除了開發(fā)安全軟件以外，另一種系統(tǒng)也能夠帶來幫助：入侵檢測系統(tǒng)能夠檢測常見的攻擊，不同尋常的行為，甚至本來預(yù)期要發(fā)生但實際上沒有發(fā)生的事情。當(dāng)然，它們并非完美無缺，有時候會無法檢測到攻擊活動，有時候還會將正當(dāng)?shù)幕顒诱`以為是攻擊活動。

能夠感應(yīng)和修改周圍環(huán)境的計算設(shè)備正變得越來越常見，它們出現(xiàn)在諸多的設(shè)備上，如制造機器人、無人機和無人駕駛汽車。同時針對現(xiàn)實世界和電子世界的攻擊發(fā)生的可能性隨之顯著上升。攻擊者可能會覺得在現(xiàn)實世界中植入惡意軟件很有吸引力，只需要靜靜等待無疑心的人拿智能手機或者專業(yè)設(shè)備掃描即可。隱藏在醒目處的惡意軟件成了某種“潛伏間諜”，在觸達目標(biāo)之前不會被發(fā)現(xiàn)——也許隱藏于安全的政府大樓、銀行或者醫(yī)院里。

GFIC亞太物聯(lián)網(wǎng)

峰會