|
|
澳洲研究人員發(fā)現(xiàn)通過USB竊取敏感數(shù)據(jù)的簡便方法
澳大利亞研究人員警告說,USB接口可以很容易地通過監(jiān)視電子串音泄漏來捕捉敏感用戶數(shù)據(jù)����,例如計算機的擊鍵數(shù)據(jù)。
Yang Su��,Yuval Yarom����,和來自阿得雷德大學的Damith Ranasinghe,以及來自賓夕法尼亞大學的Daniel Genkin��,測試了50種不同的計算機和外部USB集線器和發(fā)現(xiàn)九出十設(shè)備容易受到串擾問題[PDF]����。
他們發(fā)現(xiàn)USB數(shù)據(jù)總線不使用身份驗證和加密之類的安全措施,而是依賴于單播網(wǎng)絡(luò)模型�。
它意味著消息沿著發(fā)送者發(fā)送到USB總線上所有設(shè)備的路徑進行物理路由。
傳統(tǒng)的假設(shè)是�,設(shè)備不能通過USB發(fā)送到主機系統(tǒng)的信息,因為數(shù)據(jù)只通過集線器傳輸��,直到到達端點,但研究人員現(xiàn)在已經(jīng)證明這是有缺陷的��。
為了演示這個缺陷����,他們監(jiān)視USB連接的電氣特性的微小變化,以捕捉鍵盤筆劃����。
“在實驗裝置中,新穎的燈和鍵盤連接在同一集線器注意集線器可能是計算機內(nèi)部�,在這種情況下,燈和鍵盤是連接兩個USB端口的計算機上��,”Yarom說����。
“因為這些[電學]變化是鍵盤與計算機通信的結(jié)果,監(jiān)視變化顯示鍵盤敲擊�。
然后,燈通過藍牙將按鍵信息發(fā)送到另一臺計算機�,遠程控制。
研究人員測試了USB 2和3��,但不usb-c設(shè)備�,Yarom說, 灰鴿子, 監(jiān)控軟件。
為了減輕攻擊��,研究人員設(shè)計了一個“USB安全套”過濾掉超過300赫茲的信號��,并將USB電源線數(shù)據(jù)線����。
這大大減少了數(shù)據(jù)線串擾,這意味著它將需要更靈敏的設(shè)備來成功地窺探用戶通信�。
研究人員還說,增加端到端加密還可以防止竊聽�,但USB設(shè)備需要足夠的計算能力來執(zhí)行公鑰操作。
作為一種普遍的保護措施����,研究人員警告用戶不要插入他們不信任的USB設(shè)備進入他們的電腦。
USB可能不是唯一易受串擾攻擊的總線�,需要更多的研究來檢查其他通信網(wǎng)絡(luò)上的漏洞。 |
|
加載中...
發(fā)表于 2017-8-10 21:18:23
QQ好友和群
收藏