图片来源:Getty Images
本报讯 美军官员近日被猝不及防地曝光,其士兵的数字健康跟踪器在存储军事演练的地点,包括军事基地及附近的位置,甚至是全球秘密基地的位置。美国东北大学计算机与信息学教授Guevara Noubir与团队近日的一项研究揭示,手机如何通过全球的商店和城市跟踪用户,即便用户关闭其位置跟踪服务功能。
这种脆弱性来自于手机上装载的各类感应器,不仅仅是GPS和通信接口,还有获知手机是竖立还是侧放以及测量手机移动的陀螺仪和加速度计。手机上的应用程序可以用这些感应器执行用户预料不到的任务,比如跟踪用户在一座城市街道中移动的情况。
大多数人认为,关闭手机定位服务就能让各种移动监测程序停止其服务。但Noubir和同事的“侧道攻击”研究表明,应用程序会绕过那些限制。该研究揭示了手机会如何通过倾听用户的指尖敲击发现秘密口令,以及把手机放在口袋里会如何告诉数据公司你在哪里以及要去哪里。
在为一个设备或系统设计保护时,人们通常会假设出现什么样的威胁。例如,汽车的设计通常是为了保护驾驶者避免与其他车辆、建筑、道路护栏、电话亭和其他道路附近的物体碰撞。与此类似,软件设计者会设想黑客可能做什么。但这并不意味着所有设备都是安全的。
Noubir介绍,首批“侧道攻击”的案例之一可追溯到1996年。译解密码专家Paul Kocher表示,他能够通过仔细测量一台计算机解开一个加密信息的时间,解开常见的安全密码。
近年来,还有很多各种各样的其他攻击手段。近来的A级漏洞“熔毁”和“幽灵”就是利用计算机处理器的设计缺陷,它们也属于“侧道攻击”。这些攻击让恶意应用窥探到计算机记忆内的其他数据。
而移动设备正是这类攻击的绝佳靶标。Noubir表示,它们装载了感应器,通常至少包括一个加速度计、陀螺仪、磁计、气压计以及多达4个麦克风、两个摄像头和温度感应器、光感应器、湿度感应器,等等。
应用程序可以在不经过用户许可的情况下接通其中大多数感应器。通过读取两个或多个感应器的读数,它就能做出用户、手机设计者和应用程序创建者预料之外的事情。(冯维维)
《中国科学报》 (2018-02-14 第2版 国际)