扫二维码可能招来网上“潜伏间谍”
扫描二维码
随时随地手机看文章
近日,北达科他州立大学计算机科学副教授杰里米·斯特劳布(Jeremy Straub)在解释型新闻网The Conversation发表文章称,你可能被告知过在你的邮箱打开不明附件可能会带来危险——就像你不该打开你的信箱中的可疑包裹那样。但你有没有被警告过不要扫描来历不明的二维码,或者不要用你的手机拍照呢?新研究发现,网络攻击者可能会从手机及其它设备中的摄像头和传感器着手来进行攻击。
作为3D建模研究者(工作包括评估3D打印的物体,确保它们符合质量标准),我知道将恶意计算机代码存储在现实世界的手段容易带来伤害。我们的团队是在实验室里工作,还没有碰到过恶意软件隐藏在3D打印指令或者被编码到被扫描物品的架构中的情况。但我们正在准备应对那种可能性。
目前,那不大可能会发生在我们身上:攻击者需要费很大的功夫专门了解我们的系统功能,才能够成功实施攻击。然而,有朝一日,入侵会能够通过与电脑或智能手机的正常通讯或者通过那些设备的感应发生。产品设计师和用户需要认识到那些风险。
病毒感染
要使得设备感染病毒,不法分子得找到某种方法来使得电脑存储或者运行恶意软件。电脑面前的人往往会成为被攻击的目标。攻击者可能会发出电子邮件告诉电脑用户,他们中了彩票,又或者如果不回复监管员的话他们将会遭遇麻烦。在其它的情况中,病毒被设计得不知不觉地被平常的软件活动触发。
华盛顿大学研究人员最近测试了另一种可能性:将电脑病毒嵌入DNA。好消息是,大多数的电脑都不会染上来自恶意软件、植入生物病毒的电子病毒。DNA感染过往是对攻击可读取存储于DNA的数字资料的电脑的概念的一种测试。
同样地,当我们的团队扫描3D打印的物品的时候,我们同时从我们收集的图像存储和处理数据。如果攻击者专门去分析我们是如何完成该项工作的,他们有可能会发现我们有操作步骤容易被破损数据破坏。接着,他们要专门设计一个物体来让我们去扫描,使得我们接收到那些数据。
言归正传,当你扫描二维码的时候,你的计算机或者手机会处理二维码中的数据,然后进行某种行动——或许发出电子邮件,或者前往特定的网址。攻击者可能会发现扫码应用存在漏洞,可让特定精确格式化文本被执行,而不只是被扫描和处理。又或者,在目标网站可能有某种东西等着侵害你的手机。
传感器不算精确
好消息是,大多数的传感器都没有DNA测序仪那么精确。例如,两个不同的手机摄像头对准同一个物体,由于照明、摄像头位置和拉近距离的差异,会收集到不同的信息。即便是很小的偏差,可能都会让编码的恶意软件无法运行,因为被感测到的数据并不总是能够准确转变成可行的软件。因此,人们的手机不大可能会仅仅因为拍了张照片而被侵入。
然而,有的系统,比如二维码读取器,包含修正感测数据异常情况的功能。当感测环境高度可控的时候,比如我们最近评估3D打印的工作,攻击者会相对容易更具预见性地影响传感器的读数。
也许,最麻烦的情况是,攻击者能够通过感应形成进入原本十分安全、难以被攻击的系统的通道。例如,为了防止我们的3D打印质量感测系统被常规的攻击感染,我们提议将它置于另一台与互联网和其它的潜在网络攻击来源隔离的计算机上。但系统还时得扫描3D打印的物体。被恶意设计的物体可能会是攻击这种本来脱离外部的系统的一种方式。
筛查预防
很多软件开发者还没有考虑黑客控制感测数据的可能性。但2011年,伊朗政府黑客正是通过这种方式俘获美国的无人侦察机。程序员和电脑管理员必须要确保感测数据在被安全处理之前经过筛查,以便防止意想不到的劫持事故。
除了开发安全软件以外,另一种系统也能够带来帮助:入侵检测系统能够检测常见的攻击,不同寻常的行为,甚至本来预期要发生但实际上没有发生的事情。当然,它们并非完美无缺,有时候会无法检测到攻击活动,有时候还会将正当的活动误以为是攻击活动。
能够感应和修改周围环境的计算设备正变得越来越常见,它们出现在诸多的设备上,如制造机器人、无人机和无人驾驶汽车。同时针对现实世界和电子世界的攻击发生的可能性随之显著上升。攻击者可能会觉得在现实世界中植入恶意软件很有吸引力,只需要静静等待无疑心的人拿智能手机或者专业设备扫描即可。隐藏在醒目处的恶意软件成了某种“潜伏间谍”,在触达目标之前不会被发现——也许隐藏于安全的政府大楼、银行或者医院里。