来源:Synesthesia: Detecting△Screen△Content△via△Remote△Acoustic△Side△Channels△
来自密西根大学、宾州大学、以色列特拉维夫大学及哥伦比亚大学的几名研究人员在上周发表一研究报告,指出骇客可以借由视讯摄影机或荧幕所内建的麦克风,在视讯会议中或已存档的语音纪录中“听见”使用者荧幕上的内容,属于新型态的旁路攻击漏洞。
研究人员指出,骇客可以通过麦克风纪录电脑荧幕所发出的声音来推测荧幕内容。电脑荧幕的声音来自电源在控制电流时所发出的噪音,这些声音会根据描绘荧幕视觉内容所需的电力而有所不同,人类的耳朵几乎听不到这些声音,但寻常麦克风就能侦测并纪录它们。
这些声音可能通过Skype或Hangouts等程式传递,纪录的工具可能是声控喇叭或手机,有特定目的的骇客甚至会借由抛物线麦克风从远端捕获这些声音;研究人员展示了多种攻击场景,包括可即时侦测荧幕上的文字,或是使用者利用虚拟键盘所输入的文字,还能即时分析视讯会议时所接收的音讯,以判断对方究竟是在观看视讯会议的荧幕或者是在浏览其它网站,甚至能够判断对方荧幕上所显示的是哪个网站。
根据研究人员的说法,此一资讯的泄露奠基于电脑荧幕的视觉描绘机制。他们测试了数十款LCD荧幕,包含Dell、三星、HP、ViewSonic、Philips、Soyo与苹果等知名品牌,制造日期远至2003年或近至2017年,发现不管新、旧的所有型号都存在着同样的资讯外泄行为。
只要分析这些荧幕声音的频谱,就能建立指纹,以分辨当时荧幕上所呈现的内容。
在研究人员的实验中,他们分别以高阶麦克风及手机负责纪录声音,发现利用前者所搜集的音讯而建立的单字预测列表总是会包含正确单字,准确度达100%,手机纪录的声音就算较不清晰,也有98%的准确度,若是用来推断97个具指纹的网站,准确度则分别达到97.09%与91.2%。
要预防这类的攻击可从硬件与软件端着手,在硬件上可消除这些讯号、制造更多的噪音,或是遮避这些讯号,但都不容易实现,软件缓解目前看来则是更适当的作法,主要是变更荧幕上的实际内容以创造一致的音讯或是故意愚弄骇客。
I 相关 / Other
图片来源: Google Google周四宣布和科学教育内容业者Labster合作,将30多个VR实验室搬到Daydream△VR头戴装置,让理工科学生在家也能做实验。对生物、化学等理工科学生来说,动手实验和在课堂上课一样重要,但许多学
邪恶USB又出现了,只要一条USB充电线就能在PC上植入恶意程式
图片来源: Vincent△Yiu 斯圆安全(SYON△Security)本周对外展示了一个以USB充电线当作攻击媒介的USBHarpoon装置,在连上电脑之后,它能变身为人机介面,可输入必要的快捷键并击键,以在电脑上植入恶意程式。率先提
OpenSSL存在旁路攻击漏洞,光靠拦截手机电磁讯号就能取得金钥
示意图,与新闻事件无关。 美国乔治亚理工学院的安全研究人员近日揭露了OpenSSL的旁路攻击漏洞,可利用软件无线电装置来拦截手机的电磁讯号并汲取出金钥。OpenSSL为加密通讯协议SSL与TLS的开源版,能够防止窃听,也
Google 年内将推出自家智能荧幕产品 | 香港 UNWIRE.HK 玩生活.乐科技
智能荧幕基本上就是智能喇叭加上荧幕,让用家可以通过荧幕进行各样操作,继各厂商都与 Google 合作推出智能荧幕之后,有传 Google 已经开始准备推出自家版本的智能荧幕。智能荧幕这个概念已经不新鲜,好几年前已经有
利用macOS High Sierra漏洞以虚拟点击就能绕过安全机制
图片来源: Patrick△Wardle 前NSA骇客、现任安全公司Digita△Security研究长Patrick△Wardle发现 macOS△High△Sierra有一去年发现可让骇客执行合成点击攻击的漏洞,现在又再次出现。Wardle上周在Def△Con骇客大会上