在Defcon交流会上,红气球安全研究所的一群科研人员演示了如何根据电脑的显示器来入侵电脑。一般人认为显示器是一个被动的附机,不太可能被攻击者用来破译你的系统软件。
现在理想化很丰富,生活很无奈。攻击者可以劫持每一台显示器,利用它们入侵每个人的电脑 *** 作系统。一组安全科学研究人员设计了一种破译嵌入式计算机的方法。他们可以 *** 纵监视器来监视受害者,此外,他们还可以控制监视器屏幕的清晰度。
该工作组由崔昂(红气球安全研究所的高层)率领,参加Defcon网络黑客大会。他们在周五的Defcon大会上与大家分享了这项技术。
实际上,攻击场景非常简单。网络黑客诱骗受害者浏览垃圾网站或点击钓鱼攻击连接。如果受害者被骗,网络黑客可以 *** 作嵌入式电子计算机上的固定部件,然后 *** 纵显示器。
攻击者只需嵌入一个固定物,等待他的信号。攻击者将使用闪烁的图形原语向嵌入式设备传输数据。这种图形原语,俗称清晰度,可以隐藏在所有网页中(视频或网站中)。
崔昂和她的朋友贾丁·卡塔里亚(JatinKataria)尝试了如何破解DellU2410显示器,他们根据入侵显示器的情况改变并记录了显示器的清晰度。
在Defcon大会的整个试用过程中,他们展示了如何在网页上更改关键点,他们还尝试了如何将PayPal的余额从零更改为一百万美元。
崔告诉大家,这种技术可以用来监控受害者或者改变电脑中没有收录的照片和视频,发送到监视器中。
这个系统漏洞的关键在于固定部分的升级方式,一定要注意。这种攻击必须通过物理浏览器显示来管理,例如使用HDMI或USB端口号。
LorenzoBicchierai从电脑主板的角度考虑,这个系统漏洞风险很大。该模拟模拟了一个场景。如果网络黑客入侵了电站中可以看到 *** 作员的显示器,很可能会导致巨大的灾难。
崔首先问大家:“能不能 *** 纵电力项目,把电站关掉?”然后他狡黠地一笑说:“这个我可以保证。”
专家们注意到,攻击没有那么快,因为图像加载会很慢。总之,对于入侵显示,主要是静态数据,集成电路芯片系统软件的控制面板,那种方法可能是最有效的。
这些入侵造成的危害是巨大的。根据计算,将有十亿台嵌入式电子计算机由主要厂商销售。安全研究人员还分析了其他知名品牌的显示器,包括三星、展腾和PackardHughParkJungSu。此外,研究人员已经证实,理论上可以使用相同的技术来破译所有的监视器。
两位权威专家在GitHub上分享了他们的代码:
https://github.com/redballoonshenanigans/monitordarkly
此报告包含Dell2410U的监控系统漏洞,包括用于与机器和设备上的代码进行通信的应用程序工具。这一科学研究的提出,显然是为了更好地关注显示器屏幕层面安全系数的不足。有兴趣可以点击链接查询Recon0xA的研究成果:http://www.redballoonsecurity.com/presentation/recon_0xA_a_monitor_darkly.pdf。详情请参考GitHub。
这个系统缺陷告诉所有人,信任监视器很可能是一个坏主意!
最后,崔告诉大家“在每个人都生活的现代社会,你不能相信的显示器是安全的。”
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)