不得不服!黑客原来是这样远程窥探您的隐私和窃取数据

  黑客是如何远程窥探您的隐私?来自中国最年轻黑客教父,知名网络安全专家,东方联盟创始人郭盛华曾带领他的团队做过一个可怕的实验,他表示:网络世界没有100%的安全,如果您的智能手机,平板电脑,智能冰箱,智能电视和其他智能设备足够智能以使您的生活更轻松,那么他们的智能行为也可能被黑客用来窃取数据,侵入您的隐私或窥探您,如果没有妥善保护的话。

  最近由国内知名黑客安全组织东方联盟进行了一个这样的实验,展示了一种新的攻击手段,将智能设备变成间谍工具,可以追踪你的一举一动,包括推断性行为。这种智能设备攻击软件是由东方联盟黑客安全组织的三名研究人员开发的,其功能非常强大,可以记录一个人穿过隔离墙的过程。

  它跟踪系统利用智能手机,笔记本电脑,平板电脑,智能助理和其他智能设备中的内置麦克风和扬声器作为接收器来拾取反射的声波,并跟踪音频源附近任何人的移动。

  以下是它的工作原理:

  攻击手段包括远程劫持智能设备,播放嵌入重复脉冲的音乐,这些脉冲跟踪设备附近和墙壁上的位置,身体动作和活动。为此,攻击者首先会欺骗受害者在他们的智能设备上安装第三方Android应用程序,该应用程序不需要生根。

  安装后,恶意应用程序会秘密使用AudioTrackAPI播放18-20kHz的声音信号,并屏蔽此高频声音,应用程序通过播放歌曲或其他音频剪辑覆盖Covertband的脉冲,作为声纳。

  这些声波然后会反弹人和物体,这是由麦克风拾取的。该应用程序然后使用AudioRecordAPI在两个麦克风上同时记录信号以实现2D跟踪。记录的数据然后由攻击者通过蓝牙在笔记本电脑上接收以进行离线处理。

  由于攻击只需要访问扬声器和麦克风,因此攻击者可以利用受害者家中已经存在的很多智能设备来窥探不知情的目标。“可能通过应用程序商店中的木马程序或通过远程利用破坏这些智能设备之一的远程攻击者可以使用我们的方法来远程收集有关个人家庭活动的信息,攻击者也可以发现更多的秘密行为研究人员表示,这种攻击方式非常有效。

  例如,具有语音控制功能的流媒体音乐应用程序具有执行攻击所需的所有权限(扬声器和麦克风)。举个简单的例子,攻击者可以利用嵌入音乐应用程序中的广告库来确定用户是否在附近广告播放时的电话。“东方联盟黑客安全组织研究人员展示了CovertBand攻击如何可能使攻击者能够区分不同类型的人的运动,即使他们处于不同的身体位置和方向。

  研究人员特别专注于两类运动:

  线性运动-当主体走直线时。

  定期运动-当受试者保持大致相同的位置(躺在地板上)但执行定期运动。

  根据研究论文,这些运动可以通过查看谱图来区分,但足以潜在地实现隐私泄漏。“例如,(1)模拟情报社区成员可能感兴趣的信息,例如追踪房间内目标的位置,以及(2)可用于推断性行为,保护的重要性可能这取决于目标的文化和文化规范,或者可能取决于目标公众的知名度,例如名人身份或政治地位而有所不同,“该研究报告写道。在解释不同的情景时,研究人员解释了间谍机构如何利用这些工具泄露有关目标模糊活动的信息,即使存在背景或噪音。想象一下,一个间谍“爱丽丝”进入一个外国,并租借一个酒店房间,与一个“老王”个人相邻,她打算秘密地秘密监视。由于爱丽丝无法通过专门的监控硬件进入该国,她只会利用CovertBand攻击甚至通过墙壁对被摄对象进行2D追踪,“她可以在手机上运行某些东西,避免引起巨大的怀疑。”

​  为了证明这一点,东方联盟黑客安全组织研究人员展示了一个场景,“老王”假装在卫生间里通过例行公事,而“爱丽丝”则用CovertBand跟踪他的动作。他们能够确定“老王”在浴室内四处走动,可能花在不到20秒的时间里坐在马桶上刷牙。

  “我们将扬声器放置在卫生间门外15厘米的地方,并进行了四次试验,在此期间,“老王”花了不到20秒的时间做了以下每项操作:淋浴,坐在马桶上,刷牙。实验中,浴室风扇开着,我们听到“老王”在卫生间内进行任何活动,“研究报告写道。

  东方联盟黑客安全组织研究人员认为,即使在没有直接路径的情况下,他们的攻击也可以进行细化,以便感应更细微的动作,如手,手臂甚至手指的移动,以获得分辨率和准确度。保护自己免受此类攻击涉及大多数人的不切实际的防御措施,例如播放自己的18-20kHz信号以干扰CovertBand,但这会让您的宠物和孩子感到不适,或者会让您的家中无窗隔音。东方联盟研究人员希望了解这种攻击的后果可能会促使科学家制定切实可行的对策,而不是研究如何攻击用户。

posted @ 2018-04-18 07:55  黑客爱好者  阅读(4041)  评论(0编辑  收藏  举报