比利時研究團隊新發現:不上網,駭客利用電腦風扇也能竊取資料

作者 | 發布日期 2020 年 04 月 23 日 8:30 | 分類 資訊安全 , 軟體、系統 , 電腦 Telegram share ! follow us in feedly


對於駭客來說,沒有他們做不到,只有你想不到的事。近日,以色列的一個研究團隊發現,可以利用一種特別的方式,「不動聲色」地從電腦中竊取數據。

以色列本‧古里安大學的研究團隊發現了竊取電腦數據的一種新方式──Air-ViBeR。他們已經不是第一次研究出這種奇特的技術來獲取電腦數據,比如之前的利用硬碟 LED、螢幕亮度、電腦喇叭、熱量等方式,都可以進行數據竊取。

(Source:arxiv

根據論文,這一攻擊分為 3 個步驟。首先,利用植入電腦中的惡意軟體來控制風扇轉速,以此來調節電腦產生的機械振動,數據會被編碼到這些振動中;然後,將智慧手機放置在電腦桌上或靠近電腦主機的其他位置,手機中的加速度感測器可以用來收集振動訊號;最後,透過 App 解碼獲取訊號。

但這種祕密竊取氣隙電腦數據的技術早已不陌生了。他們先前對入侵氣隙設備的研究包括:

  • PowerHammer 攻擊可透過電源線從氣隙電腦中竊取數據。
  • MOSQUITO 技術透過超音波,可以將置於同一房間內的 2 台(或更多)氣隙電腦進行祕密地數據交換。
  • eatCoin 技術可以使攻擊者從氣隙加密貨幣錢包中竊取私有加密密鑰。
  • aIR-Jumper 攻擊藉助裝有夜視功能的紅外線 CCTV 攝影機,從氣隙電腦中獲取敏感資訊。
  • MAGNETO 和 ODINI 技術使用 CPU 產生的磁場做為氣隙系統和附近智慧手機之間的祕密通道。
  • USBee 攻擊可透過 USB 連接器的射頻傳輸從氣隙電腦上竊取數據。
  • DiskFiltration 攻擊可以利用目標氣隙電腦的硬碟驅動器(HDD)發出的聲音信號來竊取數據。
  • BitWhisper 依靠兩個電腦系統之間的熱交換來竊取虹吸密碼或安全密鑰。
  • AirHopper 將電腦的顯示卡轉換成 FM 發射器來控制按鍵。
  • Fansmitter 技術利用電腦散熱器發出的噪音獲取數據。
  • GSMem 攻擊依賴蜂巢式網路。

(Source:ZDNet

而最新的研究指出,CPU 風扇、GPU 風扇、電源風扇或者任何其他安裝在電腦機箱上的風扇都可以產生振動。對於沒有連接網路的電腦,植入在系統中的惡意程式碼可以控制風扇轉動的速度。所以,透過加快或減緩風扇的轉動速度,攻擊者可以控制風扇振動的頻率。這種頻率可以被編碼,然後透過電腦桌等傳播出去。

(Source:arxiv,下同)

緊接著,附近的攻擊者可以使用智慧手機中的加速度感測器記錄下這些振動,然後解碼隱含在振動模式中的資訊,進而對竊取自未上網的電腦系統中的資訊進行重建。

收集這些振動可以透過兩種方式進行:

  • 如果攻擊者能夠實際進入有空隙的網路,他們可以將自己的智慧手機放在一個空隙系統附近的桌子上,在不接觸有空隙電腦的情況下收集所發射的振動。
  • 如果攻擊者無法訪問空隙網路,那麼攻擊者就會感染為操作空隙系統的目標公司工作的員工智慧手機。員工裝置上的惡意軟體可以代表攻擊者獲取這些振動。

而智慧手機中的加速規對於駭客來說是高度隱蔽的:

第一,無需用戶許可。Android 和 iOS 操作系統的應用程式讀取加速規樣本的結合時,不會向用戶發起請求。

第二,無可見提示。當應用程式啟用加速規時,沒有任何可見的提示。

第三,標準的 JavaScript 程式碼可以進入 Web 瀏覽器訪問加速規。這意味著駭客不再需要入侵用戶裝置或者安裝惡意軟體,只要在合法網站中植入惡意 JavaScript,該網站對加速規進行採樣,接收祕密信號並透過網路竊取資訊。

也就是說,駭客在後台竊取你的數據,而你卻毫不知情,並且還是在電腦沒網路的情況下。

天哪,那豈不是小祕密都藏不住了……

不過,需要指出的是,目前,這種技術的使用範圍僅限於要求高度安全的數據獲取過程,例如軍事機密網路、零售商處理信用卡和簽帳金融卡的支付網路,以及工業控制系統中的關鍵基礎設施營運,另外還有不少記者會用其來保護敏感數據。

這種新型的攻擊方法原理在於利用很少人會注意到的電腦組件輻射,例如光、聲音、熱、無線電頻率或超音波,甚至利用電源線中的電流波動,來進行電腦數據竊取。

如何阻止?

儘管這種竊密方式十分新奇,但是研究人員也指出其中的弊端,要傳輸小型數據包需在距離 PC1.5 米的範圍內,才是比較穩定的,且這種傳輸方式速度非常慢。不同的振動來源傳播速度也不一樣,比如 CPU 風扇是最低的,而機箱風扇是最高的。

因此,研究人員也提出了幾種解決方案。

一種解決方案是,在包含敏感資訊的電腦上放置加速度感測器,用以檢測異常振動。

還有一種方案是風扇監視器。一般在系統中,任何程式都不應該進入風扇控制,所以可使用端點保護來檢測干擾風扇控制 API 或進入風扇控制總線的程式碼(比如 ACPI 和 SMBus),但這種方法的缺陷在於,攻擊者可以使用 rootkit 或其他規避技術,繞過監視器並訪問風扇控制。

此外,也可透過切斷或阻擋原始傳輸來堵塞通信信道,這也是一種內部干擾方法,可以使用專門程式在隨機的時間和 RPM 上更改風扇速度,但同樣它也無法避免被核心 rootkit 禁用或規避。

目前,在安全性方面最受信任的外部干擾方法是將產生隨機振動的組件連接到電腦上,該方法有一項弱點就是需要維護,無法做到在每台電腦上進行部署,但這種模式確實比較簡單易行。

當然,還可以讓電腦進行物理隔離,把它放進一種特殊的抗振機箱;或者用水冷系統代替原有的電腦風扇,只是這樣的方案並不能大規模推廣。

不過慶幸的是,現實環境中此類意外的干擾很少發生,普通用戶也不用過於擔心。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay