English 中文
400 015 0896

生活中无处不在的网络安全隐患

作者:15PB 时间:2021-07-31 09:13:39 浏览量:308

在当今的信息互联网时代,个人隐私信息已不再属于个人。互联网在为我们提供便利的同时,也给我们的生活和工作带来了一定的风险。

事实证明,越来越多的不法分子利用计算机技术和各类漏洞窃取个人、机构团体甚至政府部门的重要信息,无良商家也会通过倒卖用户信息来牟取暴利。更令人恐慌的是,不仅仅是我们在虚拟网络上的个人信息被泄露,我们的实际生活也遭到了“恶意”入侵。

警惕身边的共享充电宝陷阱

近日,公安部网安局发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。

360网络安全专家郝经利向新浪科技表示,犯罪分子有两种方式对共享充电宝植入木马。一种是通过现有的工厂和设备进行统一改造,给共享充电宝安装带有攻击性的程序,但这种方式成本较高,不容易操作;第二种是批量制造一些带有攻击性硬件的充电宝,在外形上与商场等场所中的共享充电宝一模一样,投放到市场上被用户使用之后,木马病毒就能实现在用户端的传播。很多犯罪分子还会在火车站、商场等地叫卖甚至免费赠送这类充电宝,达到投放木马病毒牟利的目的。一旦用户使用了被植入木马的共享充电宝,对方就能获取用户手机中的照片、视频、通讯录、短信等隐私内容,安装一些App赚取推广费用,推送广告,甚至是进行高级别的网络入侵,损失钱财。

“假如连接到共享充电宝时,手机上提示是否信任、是否访问网络数据,就要提高警惕。”他说,安卓用户的设置中有一个开发者模式的功能,这个功能默认关闭,普通用户尽量不要打开该模式,否则被入侵的可能性更高。他还强调,苹果手机用户也不能掉以轻心,很多木马病毒即使安装了手机杀毒软件,也会有一定的几率不能检测出来。因此,无论是安卓用户还是苹果用户,要尽量避免在公共场合租赁充电宝;即使是在手机没电的紧急情况下,也要尽量避免使用来路不明或者小众品牌的共享充电宝产品。

暗藏风险的智能感应设备

在过去几年中越来越普及的智能感应设备,也很可能为私人对话与个人信息窃听提供了许多机会。“窃听”方式似乎变得更加难以防备,而且比我们想象得更加容易,可能一个扫地机器人或者一个垃圾桶,就可以使个人隐私暴露无遗。配备有激光雷达导航系统的扫地机器人,在工作时,会使用脉冲激光来测量与附近物体间的距离,它会向房间四周发出激光束,并感应反射光束,然后利用反射信号绘制出整个房间的地图,从而避免在房屋内发生不必要的碰撞。此前已有隐私专家建议,扫地机器人制作的地图(通常存储在云平台中)会构成潜在的隐私漏洞,使广告商可以借此判断房屋大小(这可能暗示收入水平)以及其他与生活方式相关的信息。而在这项研究中,论文作者之一、马里兰大学计算机科学系助理教授 Nirupam Roy 及其合作者则提出了另一种猜想:扫地机器人中的激光雷达系统,是否有可能成为不法分子在个人家中或企业中的窃听设备,并带来潜在的安全风险呢?

于是,他们创造了一种名为“LidarPhone”的监听系统,并通过攻击一款小米 Roborock 扫地机器人进行了测试。此次攻击的核心思想是:“黑”进扫地机器人后远程访问云平台,获取激光雷达数据并分析收集到的原始信号。我们知道,声波会导致物体振动,而这些振动又会导致从物体反射回来的激光束发生变化。因此,攻击者就有可能由吸尘器接收到的激光信号及其变化,分析出导致这种变化的声波信号,成功窃听私人对话,从而泄露信用卡信息或可能用于威胁勒索的信息。

车辆无钥匙进入技术的安全漏洞

一辆售价80-90万的特斯拉Model X,只用2000块就能开走。这不是特斯拉在搞什么购车金融方案,而是比利时鲁汶大学的研究人员攻破了高端车型Model X的安全漏洞,他们只用2000元左右,拿树莓派电脑DIY了一个「车钥匙」,90秒打开车门,不到几分钟,就能把车开走了。复制这把车钥匙的方法,就是先接近车主,在近距离(15米内)中,用自己在网上购买的车身控制模块(BCM)去唤醒车主智能钥匙的蓝牙。攻击者需要先从目标汽车的挡风玻璃上读取了一串数字:车辆识别号的最后五位数字。通过这串数字,攻击者便可以为他们的盗版BCM创建一个代码,用于证明其身份。相当于「再造」一个车机系统。然后拿着这一套克隆BCM,唤醒靠近的车钥匙,执行下一步的破解步骤。而这一步的关键,就是重写车主钥匙上的固件程序。Model X的密钥卡,通过蓝牙与Model X内部的计算机连接,然后无线接收固件更新。但是这其中存在一个重大漏洞:Model X密钥的固件更新缺乏加密签名,以证明更新固件更新来源的安全性。通俗来说,就是证明更新来源是官方的、安全的,而Model X的车钥匙并不具备验证这一步。所以黑客记录下挡风玻璃的后五位数,就能把树莓派伪装成Model X,诱骗你的车钥匙更新固件。这个固件是黑客镜像设计的,它可以查询车钥匙里的安全芯片,为车辆生成解锁代码。于是,攻击者便非常顺利地通过蓝牙,连接上目标车辆的密钥卡,重写固件。当固件被更新为攻击者的版本后,便可以用它来查询密钥卡内的安全芯片(secure enclave chip)。取得解锁代码之后,通过蓝牙将代码发送回你的车,就这样「门户大开」了。

整个过程,只需要90秒就可以坐进车里,现在要做的就是让真正的车机系统认可这把假钥匙,从而启动车辆。首先是拆下车内的屏幕下方的储物盒,在操作台内部有一个接口(物理接口),直接连接到车辆控制系统的核心部分,即CAN总线,其中包括了车辆本身的BCM。把DIY电脑直接插在接口上,就可以直接向车辆本身的BCM发送指令。发送的指令,是让车辆本身的电脑跟黑客自己生成的钥匙匹配,这样就能轻松的启动车辆。

鲁汶大学的研究人员已于今年8月17号通知了特斯拉公司该安全问题,特斯拉在确认安全漏洞之后已经开始着手对安全漏洞进行修复。这些措施包括两个方面,一是车钥匙本身对于固件更新的来源验证。第二部分是车辆BCM对钥匙安全证书的漏检问题修复。这些更新会在一个月内陆续覆盖所有有风险的车型。

发现了此漏洞的研究人员说,特斯拉的无钥匙进入技术与其他车相比,并没本质区别。都是用低频无线电波(NFC)发送或接受解锁码来解锁车辆。

 

不仅仅是共享充电宝,智能扫地机器人,特斯拉等可无钥匙进入的车辆,我们的生活中处处都暗藏着难以防备的网络安全隐患。因此,对于网络安全这一行业而言,黑客们的攻击行动也能让各大企业积累经验,进而促使反攻击技术不断进化。

 
 
   

十五派信息安全教育是一家专业的网络安全培训、前端Web安全、信息安全培训机构,如果您有这方面的需求,欢迎来电咨询十五派信息安全培训客服,期待您的来电。


       

北京蓝森科技有限公司 版权所有 Copyright © 2013-2020,All rights reserved. ICP备案:京ICP备13035942号-10