除了軟硬件和網絡通訊協議上的漏洞,近年來我們還見到了各種稀奇古怪的 PC 數據竊取方案,比如通過芯片工作時的電磁波、或人耳難以察覺的揚聲器 / 麥克風方案來洩露數據。 近日,以色列本·古裡安大學的研究人員更是突發奇想,演示瞭如何通過風扇振動和智能手機,成功地從 PC 上竊取數據。
即便是物理上相互隔離、且沒有接入到互聯網,這套被稱作 AiR-ViBeR 的方案,還是能夠以人們難以察覺的方式來洩露數據。
理論上,我們可以將 CPU、GPU、機箱風扇等機電組件的振動模式與特殊的惡意軟件結合使用,以直接操控風扇的轉速。
AiR ViBeR Exfiltrating Data from Air-Gapped Computers(via)
概念驗證期間,研究人員使用了一部和計算機放在同一張桌面上的智能機。儘管兩者之間沒有物理和常見的無線連接,但手機仍可通過加速度計來記錄振動的變化。
三星 Galaxy S10 等高端設備,其內置的傳感器已擁有足夠的精確度,分辨率達到了 0.0023956299 m / s2。
這種方式的另一個優點,就是攻擊者無需破解任何移動設備 —— 無需在 Android / iOS 設備上啟用特殊的權限,即可在後臺神不知鬼不覺地讀取加速度計的數據。
相關代碼甚至可以藉助 Web 瀏覽器的 JavaScript 腳本來實現,不過目前這項研究的最遠傳輸距離也只有 1.5 米、且速度相當緩慢,因此大家沒必要太過擔心。
分享到:
