美国国土安全部预警:放一段声音,你的手机就可能被黑了
Fitbit计步器
随着网络安全越来越受到重视,人们已经学会避免下载一些恶意软件、点击一些来路不明的链接。但是,这样你的智能手机就不会中招了吗?隶属美国国土安全部的工业控制系统网络应急响应小组(ICS-CERT)在当地时间3月15日在官网发布警告称,五大世界知名传感器制造商生产的加速度计存在硬件设计漏洞,可导致智能手机被“黑”。
这项预警基于美国密歇根大学和南卡罗来纳大学的一项研究:针对手机硬件的“声波攻击”。这种“声波攻击”,是利用特定频率的声音,来干扰甚至篡改手机传感器的输出值,从而操纵“无脑”信任传感器的手机系统。密歇根大学电子工程和信息科技学副教授Kevin Fu把这种攻击比喻为一种声音病毒。
该团队在实验中测试了来自5家知名生产商的20种加速度计品牌,其中75%的加速度计会被干扰,而65%的加速度计的输出结果可以被操控。这5家传感器生产商是:美国ADI(Analog Devices)、德国博世(Bosch)、美国应美盛(InvenSense)、日本村田制作所(Murata Manufacturing)和意法半导体(STMicroelectronics)。
为声音所惑的加速度计
加速度计是一种在智能手机中广泛应用的传感器,可以通过计算手机在各个方向上的“应力”来得出加速度。加速度计配合陀螺仪,可以对手机的位置状态、运动状态进行感知。像导航、横竖屏切换、微信“摇一摇”、计步器和许多重力感应手机游戏都基于这些传感器。
此前,网络安全研究者就发现智能手机中的加速度计可以捕捉敲键盘敲击时的震动,解码输入电脑的文字,准确率可达到80%。而这次,加速度计本身成了被入侵的突破口。当外界声音接近加速度计的谐振频率时,就会引发设备震动。这个漏洞可以被人利用,发动拒绝服务(DOS)攻击。
除了让设备瘫掉之外,声音甚至可以操控传感器的输出值,“绑架”手机,从而造成更大的潜在威胁。在论文中,这个美国团队通过两种与加速度计有关的手机应用来演示“声波绑架”:计步器和遥控车。
很多人都会佩戴手环或其他形态的传感器来记录自己的运动状态,比如走路步数、心率等。Fitbit就是一家著名的记录设备生产商。以往,人们也发明了许多“作弊”方式,比如把计步器放在震动的平台上,但研究人员只是播放了40分钟符合加速度计谐振频率的声音,Fitbit One就显示增加了2100歩。
并且,像Walgrees和Higi这样的美国公司,出于鼓励人们健康运动的目的,设置了以步数换积分的活动。因此,通过这种声波作弊法来获利是完全可能的。
而遥控车则是另一种依赖加速度计的手机应用。遥控车通过WiFi或者蓝牙与手机设备相连,用户可以通过向前后左右移动手机来控制遥控车的运动。在实验中,科学家们令一台三星Galaxy S5在打开遥控车手机应用的同时,播放一段预见录好的“恶意”音乐。遥控车的运动就开始被音乐所操控。
让三星Galaxy S5播放“恶意”音乐,操纵遥控车
自动驾驶、智能医疗:未来隐患无处不在
尽管实验中声音操纵的只是一辆玩具车,但现在辅助驾驶和自动驾驶正在高速发展,如果未来应用在自动驾驶汽车中的传感器也存在此类漏洞,我们的马路就会变得险象环生。
此外,智能医疗也会面临威胁。人类正利用加速度计来实现很多医疗程序的自动化,如果注射给糖尿病患者的胰岛素剂量或者心脏起搏器的频率出了问题,后果真是不堪设想。
据《纽约时报》报道,信息安全领域的专业人士认为这些传感器现有的漏洞倒还不是什么“天塌下来了”的大麻烦,但这项研究揭示了各种模拟部件和数字部件的交互过程很容易出错。毕竟,这些传感器承担着数字世界和现实世界的沟通,在智能手机、计算机、人机接口中扮演了十分重要的角色,在这个智能时代里无处不在。
本文转自d1net(转载)
美国国土安全部预警:放一段声音,你的手机就可能被黑了相关推荐
- 美国国土安全部试图商业化的八种网络安全新技术
经联邦政府批准,美国国土安全部(DHS)公开最新开发的8种网络安全技术,并准备投入10亿美金,寻求私营企业的帮助,以将其转化为实用型的商业产品. 在DHS发布的第四份<网络安全部门转为实用技术指 ...
- 美国国土安全部发布物联网安全最佳实践
美国国土安全部(DHS)最近发布了其<物联网安全策略原则>.其中包含6条不具约束力的指导性原则,旨在为设计.制造和部署联网设备提供安全.里面引用了一句话:"物联网以最大化安全最小 ...
- 美国国土安全部发布针对高风险铁路基础设施的强制性安全要求
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 隶属于美国国土安全部 (DHS) 的美国联邦运输安全局 (TSA) 要求关键铁路基础设施的运营商在24小时内向网络安全和基础设施安全局 (CIS ...
- 美国国土安全部承认使用数据库追踪数百万手机用户
美国国土安全部已经承认其使用了追踪数百万智能手机用户的数据库,无视此前作出的一项法庭裁决.这些数据已经被用于边境和移民执法,有一些证据表明,国土安全部并不想承认有权访问它的数据库. 熟知内情的消息人士 ...
- 美国国土安全部:Log4j 漏洞的影响将持续十年或更久
聚焦源代码安全,网罗国内外最新资讯! 作者:Jessica Lyons Hardcastle 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人" ...
- VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户称需立即修复严重的认证绕过漏洞(CVE-2022-22972),它影响多款产品中的"本地域用户",可被 ...
- 美国国土安全部和MSF相继发布了Citrix漏洞的测试利用工具
近期,美国国土安全部下属的网络安全与基础设施安全局(DHS CISA)发布了一个安全检测工具,用于帮助安全人员检查他们的组织是否容易受到Citrix高危漏洞的影响,这主要和Citrix应用交付控制器( ...
- 美国国土安全部仍然使用COBOL语言
美国国防部仍然使用8英寸软盘,而美国国土安全部仍然使用上世纪50年代的COBOL语言.根据美国政府问责局发表的报告(PDF),退伍军人事务部仍然使用COBOL语言,该部门申请了资金升级COBOL系统: ...
- 美国国土安全部仍然使用 COBOL 语言
美国国防部仍然使用8英寸软盘,而美国国土安全部仍然使用上世纪50年代的COBOL语言.根据美国政府问责局发表的报告(PDF),退伍军人事务部仍然使用COBOL语言,该部门申请了资金升级COBOL系统: ...
最新文章
- 细粒度语义分割:ICCV2019论文解析
- 77.Linux系统日志,screen工具介绍
- Visual Studio 2012中的为创建类时的添加注释模板
- elasticsearch入门hello world (macos)【一】下载运行
- Python中的支持向量机SVM的使用(有实例有源码)
- HTML,,,音乐,html embed用法
- 《人月神话》读后感一
- 异常:Software caused connection abort: socket write error
- 软工实践第八次作业(软件工程实践总结)
- GitHub 爬虫项目
- 计算机网络教室建设方案,计算机网络教室设计方案汇总.doc
- 互联网晚报 | 12月10日 星期五 | B站月均活跃UP主达270万人;宝马电动车总销量破百万;苹果市值逼近3万亿美元...
- 如何开发一个App(Android)
- python爬取网易云_利用python爬取网易云音乐,并把数据存入mysql
- 第一代商用计算机是由,计算机基础辅导资料
- 关于VMware VAAI说明
- 苦逼程序员的真实生活
- 实践经验-仪器工程-整机系统
- 头歌-数据结构与算法 - 线性表
- 海康终端服务器5012a,TS-5012-F终端服务器-HikvisionUSA解析.pdf