压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

黑客在體內植入NFC芯片 繞過安全掃描

責編:cnetsec |2015-04-30 09:20:07

根據黑客以往的攻擊模式,我們可以很容易地對任何實施了數字犯罪的人進行物理識別。蒼白的皮膚,帽衫和筆記本電腦將會構成非常好的檢測樣本。如果你認為黑客一直是這樣老套的形象,那么你就大錯特錯了。真正的黑客在攻擊企業網絡的時候,會刻意避免使用老套的辦法,而且還會使用工具來試圖隱藏他們所實施的攻擊,這些對于黑客來說都是常識。

對于那些能夠忍受疼痛的人來說,生物學攻擊將會是一種新穎的攻擊方法,在這種方式中,黑客會在皮膚表層之下植入一個有計算能力的裝置,并且可以順利通過物理掃描和數字掃描設備。Seth Wahle以前是一名美國海軍的士兵,現在是APA Wireless公司的工程師,他在自己左手的大拇指和食指之間的部位植入了一個芯片。這個芯片有NFC(近距離無線通信)天線,它可以與安卓手機的網絡進行通信,而且還可以要求這些設備開啟網絡鏈接。用戶一旦同意打開鏈接,便安裝了惡意文件。他們的手機將會與一個遠程計算機相連接,攻擊者便可以進一步竊取和利用這些移動設備上的數據了。簡單來說,就是這些安卓設備被攻擊了。在一個提供給福布斯網站的示例中,Wahle在他的筆記本電腦上使用Metasploit滲透測試軟件去強迫一個安卓設備為他充滿笑容的臉龐拍下了一張照片。

20150430084620711

這張安全專家Seth Wahle的自拍照是用一個被攻擊的安卓設備拍攝的,他用自己手中的NFC芯片向這個安卓設備發送了一個惡意鏈接,從而完成了這次攻擊。

他將會在五月份舉辦的邁阿密黑客大會上展示他這種獨特的攻擊方法,參加會議的還有董事會秘書兼安全顧問Rod Soto。他們承認這是一個原創的研究,使用的是現成的工具和我們已知的NFC攻擊技術,但是在皮下植入芯片的攻擊方法會給犯罪分子提供一個特殊的攻擊方式,同時還擴充了他們社會工程學的“攻擊工具包”。

與此同時,航空公司和聯邦政府正在嚴厲打擊那些企圖測試航空通訊系統的行為,可植入的芯片將會提供一個很巧妙的繞過機場或其他高安全性場所的電子檢查儀的方法。Wahle說到:“他將芯片植入之后,軍隊仍然會錄用他,盡管每天都會通過掃描儀,但是這個芯片從來沒有被發現過。如果他們想要檢測到這個芯片,他們得讓我通過x光掃描儀才行?!?/p>

Soto說:“這個被植入的芯片幾乎可以繞過所有的安全檢測設備,接下來我們將會證明這一點?!?/p>

Soto警告稱:“鑒于現在NFC技術已經在商業中得到了廣泛的應用,植入芯片將會提供一個進入各種類型網絡的路徑。芯片中更加復雜和精致的代碼將會使潛在的安全問題變得更加的嚴重,尤其是通過這個芯片來利用一個0 day漏洞(一個沒有被修復的,沒有被公開的漏洞)。”

20150430084600494

但是植入的過程是非常惡心的。Wahle說,植入所使用的注射器比他想象的要大得多,他花費了40美金,并在一個沒有執照的業余醫生的幫助之下將芯片植入了手中,植入的過程就足以讓他嘔吐了。他說,他不得不通過黑市上醫生來完成芯片的植入,因為佛羅里達州有嚴格的身體改造法案。他首先得獲得這個芯片,這種芯片原本是由中國公司Freevision(下面的圖片展示的是他們所設計的動物產品和Wahle所使用的注射器尺寸)設計給耕牛使用的。而且,這種芯片只有888字節的內存,并且被包裝在Schott 8625 玻璃膠囊中,并且很難被覺察到。

20150430084538293

當然了,基于植入芯片的攻擊也有其明顯的缺陷,但是我們可以通過各種各樣的方法來克服這些缺點。例如,根據Wahle的攻擊白皮書中所描述的,當手機被鎖定或者設備被重啟時,Wahle和Soto所編寫的惡意安卓文件與攻擊者服務器的鏈接將會斷開,但是如果讓軟件在設備啟動時就自動運行,并且作為設備的后臺服務來運行的話,這個問題就可以解決了。鑒于流氓代碼必須手動進行安裝和配置,而且還需要一些像樣的社會工程學的幫助,為了對惡意文件進行偽裝,我們可以使用Google Play簽名并且強制設備進行安裝,這樣將可以減少大量社會工程學方面的工作。

Kevin Warwick聲稱他時第一個將NFC芯片植入體內的人,并且告訴福布斯雜志:“這個特殊的應用正在被測試,因為它為一些可能的危險提供了一些攻擊的思路,這樣是非常棒的”。Warwick現在是英國雷丁大學控制論的教授,同時在安全系統的禁止拾取技術方面也有一定研究。他說:“這種植入的新片并不會在機場等場合被發現,因為芯片內所含有的金屬部件遠遠比手上的手表或者結婚戒指所含有的金屬要少得多。我在2002年植入神經的一根鉑絲甚至都沒有被發現。實際上,我手臂內仍然還有一些金屬線,而且我還經常乘坐航班。”

在邁阿密,Wahle和Soto正準備公布芯片植入的細節步驟,這些步驟對于一個想要植入一個芯片的黑客來說是必要的,包括怎樣獲得這種芯片和怎樣對芯片進行編程。這將會是惡意黑客生物攻擊民主化的開端嗎?Soto補充說到:“這僅僅是生物攻擊領域的冰山一角,而且任何人都可以輕易做到。”

上一篇:最大O2O教育電商跟誰學宕機40分鐘 疑遭黑客攻擊

下一篇:游戲產品被黑客私設服務器進行運營獲利 評估損失約500萬元