未連網電腦也被駭?以色列研究:利用電腦附近手機發動攻擊
現代駭客手法多樣。ITmedia 報導,近期一份來自以色列「本-古里安大學(Ben-Gurion University of the Negev)」的研究「GAIROSCOPE: Injecting Data from Air-Gapped Computers to Nearby Gyroscopes」指出,即使是位於隔離網閘(Air Gap networking)內,未連接網路的電腦,也有方法可以以網攻盜取機密資訊。
Air Gap(networking)是透過物理隔離的方式,讓電腦本身不連接網路,可使資訊洩漏的風險降到最低。因此,常被重要設施(如:核電廠)及政府・軍方單位所使用。然而電腦本身隔絕網路在網路外,對駭客來說也並非沒有破解法。
研究團隊本次的網攻模型,由一台隔離在 Air Gap 裡的電腦(發訊端)與一支智慧型手機(收訊端)構成。讓電腦與手機這兩台裝置感染惡意軟體後,將資訊回傳給攻擊者。
本次實驗的前提,是事先讓位處 Air Gap 裡的電腦感染惡意軟體(雖是特殊情境,但過去曾發生過美軍基地的內網透過 USB 隨身碟遭感染的前例)。該惡意軟體會收集電腦中的金鑰、身份驗證資訊、密碼等機密,編碼(encode)後透過電腦的喇叭,以人耳聽不見的超音波傳到附近收訊端的智慧型手機上。
收訊端的智慧型手機也需要事先被惡意軟體感染。對駭客而言,最理想的情境是該支手機就是操作送訊端電腦的該名人員的手機,或是可接近送訊端電腦的人員的手機。由於手機會連接網路(如 Wi-Fi),就可以再透過釣魚或惡意郵件的附加檔案侵入。最終讓手機將機密資訊回傳給發動網攻的來源。
此外,模擬攻擊並沒有使用智慧型手機常用的麥克風。為了保護使用者,一般手機開啟麥克風功能時會徵求使用者的同意。本次使用的內建陀螺儀(gyroscope)並沒有類似的保護功能,對攻擊者而言會更容易利用。
研究論文作者 Mordechai Guri 專攻各種網攻洩密的研究。防範類似本次攻擊模型的方法之一,是讓送訊端的電腦與收訊端的智慧型手機遠離「超音波可傳遞訊息的最遠距離 8 公尺」以上等。
簡言之,使用位在 Air Gap 隔離區域內的電腦時,就不要把手機帶進區域內。其他也有硬體面對策,比如讓送訊端的電腦喇叭失效、移除音訊驅動程式等,或是增加妨害超音波的系統等方式。
當然,日常的資安習慣養成也很重要。如隨身手機不離開視線、不任意讓他人操作;不輕易點選未知的連結、開啟不明附加檔案;以及不隨便在公共裝置使用 USB 隨身碟等。多一份留心,少一分風險,以維護數位時代的資訊安全。