掃二維碼或者拍照真會讓你被黑嗎?

掃二維碼或者拍照真會讓你被黑嗎?網易科技訊10月14日消息,北達科他州立大學計算機科學副教授傑里米・斯特勞布在解釋型新聞網The Conversation發表文章稱,你可能被告知過在你的郵箱打開不明附件可能會帶來危險――就像你不該打開你的信箱中的可疑包裹那樣。但你有沒有被警告過不要掃描來歷不明的二維碼,或者不要用你的手機拍照呢?新研究發現,網絡攻擊者可能會從手機及其它設備中的攝像頭和傳感器着手來進行攻擊。作為3D建模研究者,我知道將惡意計算機代碼存儲在現實世界的手段容易帶來傷害。我們的團隊是在實驗室里工作,還沒有碰到過惡意軟件隱藏在3D打印指令或者被編碼到被掃描物品的架構中的情況。但我們正在準備應對那種可能性。目前,那不大可能會發生在我們身上:攻擊者需要費很大的功夫專門了解我們的系統功能,才能夠成功實施攻擊。然而,有朝一日,入侵會能夠通過與電或智能手機的正常通訊或者通過那些設備的感應發生。產品設計師和用戶需要認識到那些風險。病毒感染要使得設備感染病毒,不法分子得找到某種方法來使得電存儲或者運行惡意軟件。電面前的人往往會成為被攻擊的目標。攻擊者可能會發出電子郵件告訴電用戶,他們中了彩票,又或者如果不回復監管員的話他們將會遭遇麻煩。在其它的情況中,病毒被設計得不知不覺地被平常的軟件活動觸發。華盛頓大學研究人員最近測試了另一種可能性:將電病毒嵌入DNA。好消息是,大多數的電都不會染上來自惡意軟件、植入生物病毒的電子病毒。DNA感染過往是對攻擊可讀取存儲於DNA的數字資料的電的概念的一種測試。同樣地,當我們的團隊掃描3D打印的物品的時候,我們同時從我們收集的圖像存儲和處理數據。如果攻擊者專門去分析我們是如何完成該項工作的,他們有可能會發現我們有操作步驟容易被破損數據破壞。接着,他們要專門設計一個物體來讓我們去掃描,使得我們接收到那些數據。言歸正傳,當你掃描二維碼的時候,你的計算機或者手機會處理二維碼中的數據,然後進行某種行動――或許發出電子郵件,或者前往特定的網址。攻擊者可能會發現掃碼應用存在漏洞,可讓特定精確格式化文本被執行,而不只是被掃描和處理。又或者,在目標網站可能有某種東西等着侵害你的手機。傳感器不算精確好消息是,大多數的傳感器都沒有DNA測序儀那麼精確。例如,兩個不同的手機攝像頭對準同一個物體,由於照明、攝像頭位置和拉近距離的差異,會收集到不同的信息。即便是很小的偏差,可能都會讓編碼的惡意軟件無法運行,因為被感測到的數據並不總是能夠準確轉變成可行的軟件。因此,人們的手機不大可能會僅僅因為拍了張照片而被侵入。然而,有的系統,比如二維碼讀取器,包含修正感測數據異常情況的功能。當感測環境高度可控的時候,比如我們最近評估3D打印的工作,攻擊者會相對容易更具預見性地影響傳感器的讀數。也許,最麻煩的情況是,攻擊者能夠通過感應形成進入原本十分安全、難以被攻擊的系統的通道。例如,為了防止我們的3D打印質量感測系統被常規的攻擊感染,我們提議將它置於另一台與互聯網和其它的潛在網絡攻擊來源隔離的計算機上。但系統還時得掃描3D打印的物體。被惡意設計的物體可能會是攻擊這種本來脫離外部的系統的一種方式。篩查預防很多軟件開發者還沒有考慮黑客控制感測數據的可能性。但2011年,伊朗政府黑客正是通過這種方式俘獲美國的無人偵察機。程序員和電腦管理員必須要確保感測數據在被安全處理之前經過篩查,以便防止意想不到的劫持事故。

除了開發安全軟件以外,另一種系統也能夠帶來幫助:入侵檢測系統能夠檢測常見的攻擊,不同尋常的行為,甚至本來預期要發生但實際上沒有發生的事情。當然,它們並非完美無缺,有時候會無法檢測到攻擊活動,有時候還會將正當的活動誤以為是攻擊活動。能夠感應和修改周圍環境的計算設備正變得越來越常見,它們出現在諸多的設備上,如製造機器人、無人機和無人駕駛汽車。同時針對現實世界和電子世界的攻擊發生的可能性隨之顯著上升。攻擊者可能會覺得在現實世界中植入惡意軟件很有吸引力,只需要靜靜等待無疑心的人拿智能手機或者專業設備掃描即可。隱藏在醒目處的惡意軟件成了某種“潛伏間諜”,在觸達目標之前不會被發現――也許隱藏於安全的政府大樓、銀行或者醫院裡。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *