今年的DEFCON黑客大会给大家带来了很多有意思的技术和工具,而在众多议题中,以下两个尤为夺人眼球。
首款智能温控系统勒索软件
物联网在IT界的关注度越来越高,但是物联网安全问题却没有被重视,这些物联网设备比想象中更容易侵入。
假想一下,天气闷热,汗流浃背的你正准备洗澡,裤子脱了一半,瞄了一眼控温器上的水温,99度!而你,却无法手动控制水温。这时屏幕上跳出这样的一句话:想要洗澡吗?请支付价值1800元的比特币先。不管你怎么看,要是我,肯定气炸了。
现在假想变成了现实!
两位来自英国的渗透测试员(Ken Munro和Andrew Tierney)在DEF CON上演示了首个在智能控温设备上安装的勒索软件。他们选取了一个美国产的控温器,它运行在Linux版本下,并且拥有一个SD卡槽,用户能够在触摸屏上加载常用的设置和墙纸。这两个缺陷使得这款控温器很容易被黑。
研究员发现这款控温器在执行文件时用的都是root权限,这就允许他们安装恶意软件来勒索用户。
Tierney在演示时说明:
我们加载了一个7MB大小的javascript文件,这个javascript文件比较特殊,我们能够利用Linux系统带来的便利查询SQL数据库。我们还利用了一个旧的IRC僵尸网络并加以改进,方便运行我们的恶意脚本或是shell命令,这样用户支付完赎金,我们就能帮他完成解锁,虽然这不是我们的本意。
勒索软件通常意义上是一种向被害者索取赎金的恶意软件,它经常锁住用户重要的文件,并要求被害者提交一定数量的比特币才肯罢休。现如今,勒索软件更多地瞄准智能手机或是智能电视。
在控温器上安装勒索软件其实很困难。这两位也是在演示前一天才第一次成功,安装这个勒索软件需要对设备进行物理连接,或是欺骗用户安装他们指定的恶意文件。否则勒索无法进行。
接下来要介绍的黑客技术也要求攻击者在攻击前进行物理连接。
利用显示器“黑入”电脑系统
很多人都有一个错误的认识,认为显示器这种无源设备肯定无法用来攻击系统。然而现实是,三个来自Red Balloon Security的研究员在DEF CON大会上展示如何利用一台显示器黑掉一个电脑系统。
据称这种方法可以利用任何一台显示器侵入电脑系统,并且在屏幕上操纵像素刺探受害者的信息。
方法很简单,黑客先要诱骗受害者访问一个恶意网站或是点击钓鱼链接,对方上当后就能攻击电脑控制显示器运行的固件,从而达到控制该显示器的目的。攻击者可以在这些更新过的固件中放入一个后门程序,然后他们就能通过网页上闪烁的像素点传输迷惑信息了。
Ang Cui(Red Balloon公司首席研究员)和他的同事JatinKataria当场演示了如何通说影响其显示控制器来在屏幕上更改并记录像素,黑掉一台DellU2410显示器。
演示中,他们成功地让一个余额为$0的Paypal账号在被黑显示器上显示为余额$1000000。
Cui解释说:
利用这种技术我们可以让显示器输出非电脑发出的信息,例如一些欺骗受害者的图片、视频。
问题的关键在于更改显示器固件需要得到验证,因此物理连接在攻击中是非常重要的一环。
Cui带着狡黠的微笑自问自答:
如果你问我能不能控制显示器开关?我会告诉你我能。
由于图片和视频传输缓慢因此这种攻击方式的效率不是很高,不过这类黑客攻击主要是针对静态的目标环。
两位专家在Github上分享了他们在演示中用到的代码。
难道以后连显示器都不能完全相信了么?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论