北達(dá)科他州立大學(xué)計(jì)算機(jī)科學(xué)副教授杰里米·斯特勞布(Jeremy Straub)在解釋型新聞網(wǎng)The Conversation發(fā)表文章稱,你可能被告知過(guò)在你的郵箱打開(kāi)不明附件可能會(huì)帶來(lái)危險(xiǎn)——就像你不該打開(kāi)你的信箱中的可疑包裹那樣。但你有沒(méi)有被警告過(guò)不要掃描來(lái)歷不明的二維碼,或者不要用你的手機(jī)拍照呢繁扎?新研究發(fā)現(xiàn),網(wǎng)絡(luò)攻擊者可能會(huì)從手機(jī)及其它設(shè)備中的攝像頭和傳感器著手來(lái)進(jìn)行攻擊。
作為3D建模研究者(工作包括評(píng)估3D打印的物體梳玫,確保它們符合質(zhì)量標(biāo)準(zhǔn))爹梁,我知道將惡意計(jì)算機(jī)代碼存儲(chǔ)在現(xiàn)實(shí)世界的手段容易帶來(lái)傷害。我們的團(tuán)隊(duì)是在實(shí)驗(yàn)室里工作提澎,還沒(méi)有碰到過(guò)惡意軟件隱藏在3D打印指令或者被編碼到被掃描物品的架構(gòu)中的情況姚垃。但我們正在準(zhǔn)備應(yīng)對(duì)那種可能性。
目前盼忌,那不大可能會(huì)發(fā)生在我們身上:攻擊者需要費(fèi)很大的功夫?qū)iT(mén)了解我們的系統(tǒng)功能积糯,才能夠成功實(shí)施攻擊。然而谦纱,有朝一日看成,入侵會(huì)能夠通過(guò)與電腦或智能手機(jī)的正常通訊或者通過(guò)那些設(shè)備的感應(yīng)發(fā)生。產(chǎn)品設(shè)計(jì)師和用戶需要認(rèn)識(shí)到那些風(fēng)險(xiǎn)跨嘉。
病毒感染
要使得設(shè)備感染病毒川慌,不法分子得找到某種方法來(lái)使得電腦存儲(chǔ)或者運(yùn)行惡意軟件。電腦面前的人往往會(huì)成為被攻擊的目標(biāo)偿荷。攻擊者可能會(huì)發(fā)出電子郵件告訴電腦用戶窘游,他們中了彩票,又或者如果不回復(fù)監(jiān)管員的話他們將會(huì)遭遇麻煩跳纳。在其它的情況中忍饰,病毒被設(shè)計(jì)得不知不覺(jué)地被平常的軟件活動(dòng)觸發(fā)。
華盛頓大學(xué)研究人員最近測(cè)試了另一種可能性:將電腦病毒嵌入DNA寺庄。好消息是艾蓝,大多數(shù)的電腦都不會(huì)染上來(lái)自惡意軟件、植入生物病毒的電子病毒斗塘。DNA感染過(guò)往是對(duì)攻擊可讀取存儲(chǔ)于DNA的數(shù)字資料的電腦的概念的一種測(cè)試赢织。
同樣地,當(dāng)我們的團(tuán)隊(duì)掃描3D打印的物品的時(shí)候馍盟,我們同時(shí)從我們收集的圖像存儲(chǔ)和處理數(shù)據(jù)于置。如果攻擊者專門(mén)去分析我們是如何完成該項(xiàng)工作的,他們有可能會(huì)發(fā)現(xiàn)我們有操作步驟容易被破損數(shù)據(jù)破壞贞岭。接著八毯,他們要專門(mén)設(shè)計(jì)一個(gè)物體來(lái)讓我們?nèi)呙瑁沟梦覀兘邮盏侥切?shù)據(jù)瞄桨。
言歸正傳话速,當(dāng)你掃描二維碼的時(shí)候,你的計(jì)算機(jī)或者手機(jī)會(huì)處理二維碼中的數(shù)據(jù)芯侥,然后進(jìn)行某種行動(dòng)——或許發(fā)出電子郵件泊交,或者前往特定的網(wǎng)址乳讥。攻擊者可能會(huì)發(fā)現(xiàn)掃碼應(yīng)用存在漏洞,可讓特定精確格式化文本被執(zhí)行廓俭,而不只是被掃描和處理云石。又或者,在目標(biāo)網(wǎng)站可能有某種東西等著侵害你的手機(jī)白指。
傳感器不算精確
好消息是留晚,大多數(shù)的傳感器都沒(méi)有DNA測(cè)序儀那么精確酵紫。例如告嘲,兩個(gè)不同的手機(jī)攝像頭對(duì)準(zhǔn)同一個(gè)物體,由于照明奖地、攝像頭位置和拉近距離的差異橄唬,會(huì)收集到不同的信息。即便是很小的偏差参歹,可能都會(huì)讓編碼的惡意軟件無(wú)法運(yùn)行仰楚,因?yàn)楸桓袦y(cè)到的數(shù)據(jù)并不總是能夠準(zhǔn)確轉(zhuǎn)變成可行的軟件。因此犬庇,人們的手機(jī)不大可能會(huì)僅僅因?yàn)榕牧藦堈掌磺秩搿?/p>
然而僧界,有的系統(tǒng),比如二維碼讀取器臭挽,包含修正感測(cè)數(shù)據(jù)異常情況的功能捂襟。當(dāng)感測(cè)環(huán)境高度可控的時(shí)候,比如我們最近評(píng)估3D打印的工作欢峰,攻擊者會(huì)相對(duì)容易更具預(yù)見(jiàn)性地影響傳感器的讀數(shù)葬荷。
也許,最麻煩的情況是纽帖,攻擊者能夠通過(guò)感應(yīng)形成進(jìn)入原本十分安全宠漩、難以被攻擊的系統(tǒng)的通道。例如懊直,為了防止我們的3D打印質(zhì)量感測(cè)系統(tǒng)被常規(guī)的攻擊感染扒吁,我們提議將它置于另一臺(tái)與互聯(lián)網(wǎng)和其它的潛在網(wǎng)絡(luò)攻擊來(lái)源隔離的計(jì)算機(jī)上。但系統(tǒng)還時(shí)得掃描3D打印的物體室囊。被惡意設(shè)計(jì)的物體可能會(huì)是攻擊這種本來(lái)脫離外部的系統(tǒng)的一種方式雕崩。
篩查預(yù)防
很多軟件開(kāi)發(fā)者還沒(méi)有考慮黑客控制感測(cè)數(shù)據(jù)的可能性。但2011年波俄,伊朗政府黑客正是通過(guò)這種方式俘獲美國(guó)的無(wú)人偵察機(jī)晨逝。程序員和電腦管理員必須要確保感測(cè)數(shù)據(jù)在被安全處理之前經(jīng)過(guò)篩查,以便防止意想不到的劫持事故懦铺。
除了開(kāi)發(fā)安全軟件以外捉貌,另一種系統(tǒng)也能夠帶來(lái)幫助:入侵檢測(cè)系統(tǒng)能夠檢測(cè)常見(jiàn)的攻擊,不同尋常的行為,甚至本來(lái)預(yù)期要發(fā)生但實(shí)際上沒(méi)有發(fā)生的事情趁窃。當(dāng)然牧挣,它們并非完美無(wú)缺,有時(shí)候會(huì)無(wú)法檢測(cè)到攻擊活動(dòng)醒陆,有時(shí)候還會(huì)將正當(dāng)?shù)幕顒?dòng)誤以為是攻擊活動(dòng)瀑构。
能夠感應(yīng)和修改周圍環(huán)境的計(jì)算設(shè)備正變得越來(lái)越常見(jiàn),它們出現(xiàn)在諸多的設(shè)備上刨摩,如制造機(jī)器人寺晌、無(wú)人機(jī)和無(wú)人駕駛汽車。同時(shí)針對(duì)現(xiàn)實(shí)世界和電子世界的攻擊發(fā)生的可能性隨之顯著上升澡刹。攻擊者可能會(huì)覺(jué)得在現(xiàn)實(shí)世界中植入惡意軟件很有吸引力呻征,只需要靜靜等待無(wú)疑心的人拿智能手機(jī)或者專業(yè)設(shè)備掃描即可。隱藏在醒目處的惡意軟件成了某種“潛伏間諜”罢浇,在觸達(dá)目標(biāo)之前不會(huì)被發(fā)現(xiàn)——也許隱藏于安全的政府大樓陆赋、銀行或者醫(yī)院
