标签:
智能手机窃密it |
分类: 羊屎蛋--我的观点 |
CPU在工作时发出的声响所引起的轻微震动可进行精确分析,从而破译你在安全上网、信用卡交易和加密邮件时所键入的密码。更可怕的是,破译所需的时间并不长,一般只需将智能手机放在目标电脑附近一个小时,加密密钥便可被攻克!研究人员指出,同样的技术也可用于分析电脑内电流流动的波动,测量后也可得到相同的结果。
特拉维夫大学的研究小组日前发表了一篇论文,概述了如何使用他们所说的“窄带声学密码分析法”技术达到入侵电脑的目的。他们在论文中指出:“很多电脑在运转状态下产生的噪音,原因就在于一些电子元件发生的振动。这些振动和声响不仅仅是一种讨厌的噪音那么简单,同时还携带有关正在运行的软件的信息,包括与安全有关的敏感信息。”
研究人员指出借助于流行的免费密码破译软件,这些声响可以被破译,获取最近实施的RSA公开密钥标准下完整的4096比特加密密钥。这种加密方式目前被普遍使用,例如在线药品市场“海盗湾”的卖家和买家以及希望确保通讯机密的企业和机构都在使用。
研究人员表示放在电脑附近的智能手机,最远13英尺(约合4米)外的抛物面反射式传声器,甚至于电脑自身的内部扩音器都可以进行这种声学密码破译。这种破译过程在窃听电脑处理器工作时发生的振动中进行,能够破译一系列加密的邮件,尤其是热门软件Enigmail。Enigmail是一个用于Thunderbird客户端的免费加密插件,可以自动对收到的邮件进行破译,通知用户收到邮件。研究人员在论文中指出:“在这种情况下,黑客可以向受害者发送动过手脚的信息,等待信息抵达目标电脑,观察破译过程产生的声学信号,而后闭合适应性攻击环。”
特拉维夫大学的研究人员指出这种攻击可以通过几种方式进行,最令人担忧的一种方式是借助智能手机。只需在手机上运行特定的应用程序,一个人无需其他的硬件或者技术方面的知识便可展开攻击。研究人员在论文中表示:“攻击者可以安装用于这种目的的软件,达到与目标电脑类似的物理特征,而后将手机放在电脑附近并发起攻击。开会的时候,攻击者可以将手机放在会议桌上的目标笔记本附近,待到会议结束时便可获取密钥。”
有时候,手机用户甚至不知道自己的手机正在发动攻击。研究人员指出:“攻击者可以通过已知的攻击方式对他人的手机进行远程操控,植入攻击代码。当手机用户将手机放在目标电脑附近时,手机便会自动攻击目标,而后将密钥发送给攻击者。”