駭客攻擊竊取電腦資訊的手法日新月異,但是透過麥克風就能知道螢幕內容的攻擊手法就令人有點不寒而慄了。
來自美國密西根大學、賓州大學,以及以色列的特拉維夫大學與哥倫比亞大學的研究人員,近日發表了一份新的研究報告,在報告中正是提及了這樣的技術,透過麥克風,就能夠「描繪出」螢幕的內容,甚至正確的讀取使用者正在輸入的文字,這是怎麼做到的呢?
用麥克風紀錄螢幕的「電流噪音」,進而推測出螢幕內容
根據研究人員的報告內容,攻擊者可以透過麥克風,記錄下螢幕所發出的電流噪音。由於螢幕是透過通電,並且由電流操作螢幕控制顯示,因此只需知道受攻擊者的螢幕種類,攻擊者就可以根據螢幕電流的變化,來嘗試推測出受攻擊者的螢幕畫面。
而這樣的攻擊方式為攻擊者提供了許多的資訊竊取管道與應用場景,比如說攻擊者可以透過跟被攻擊者的語音通話過程中,嘗試監聽受攻擊者的螢幕畫面;或是在雙方視訊中,竊聽對方螢幕上的畫面,以確認對方是專心跟自己視訊,抑或是正在瀏覽其他網站。
在一些更極端的案例中,攻擊者甚至可以先行入侵受害者家中的智慧音箱設備,透過智慧音箱的麥克風接收聲音,進而達到竊取螢幕畫面的目的。
普通麥克風就能辦到,連錄影存檔都能還原
最要命的是,這樣的攻擊手法所需要的除了演算軟體外,硬體的部分只需要普通的麥克風就能達到。
研究人員分別使用了一般手機的麥克風,與高階收音麥克風來進行測試,在一般的手機麥克風上,透過監聽電流噪音的方式,研究人員可以還原約 97 %左右受攻擊者螢幕上顯示的文字;若使用的是高階麥克風,在適當的環境下甚至能達到 100% 的推測成果。
另外,這樣的技術並非只能用於即時間聽,根據研究的說明,一些視訊攝影機或是螢幕內建的麥克風也可以拿來利用,而若是使用者有透過這些裝置進行會議錄影等存檔,研究人員也能透過這些存檔,想辦法還原當時螢幕上所顯示的資訊。
緩解方式:硬體消除聲音,軟體偽造內容
對於這樣的攻擊,目前研究人員提出了軟硬體相關解決方案。
針對硬體的部分,可讓硬體經過進一步的設計,完全消除電流噪音,或是在背景刻意製造其他的電流噪音,來混淆原本的電流噪音聲;而在軟體方面,則是可以透過設計好的程式,在螢幕上刻意產生無意義的內容,來混淆攻擊者的監聽。
無論如何,這樣的技術一旦發展成熟,未來使用者的隱私將更岌岌可危。
看來,以後除了要把電腦的攝影鏡頭貼起來外,或許也要考慮把各處的麥克風口也給貼死了。
─ ─
參考資料來源:
Synesthesia: Detecting Screen Content via Remote Acoustic Side Channels
iThome:新式旁路攻擊只靠控制電流噪音就能「聽」出你的螢幕內容
(本文提供合作夥伴轉載,首圖截圖來源:Synesthesia: Detecting Screen Content via Remote Acoustic Side Channels。)
更多你該知道的資安好文
【充電線別亂用】資安團隊公布暗黑駭客手法,病毒藏 USB 傳輸線一插電腦就中毒
駭客示範攻擊心律調節器,能玩死人的系統漏洞廠商竟不修,還表示:安全風險低
看完色情網站卻收到駭客勒索:我入侵攝影鏡頭拍下來了,要臉還是要錢?
輕鬆就能當駭客:只要花台幣 300 元,國際機場任你駭
