資本實驗室·今日風險觀察

聚焦前沿科技創新與傳統產業升級

齊達

橘子皮、桂圓肉、餐巾紙……，近期網絡上披露的解鎖智能手機指紋驗證的“土辦法”讓指紋驗證的安全性再一次牽動了消費者和監管部門的神經。

據技術人員稱，這一安全問題來自於指紋驗證傳感器。對於指紋驗證這一原本可以讓手機，或者門鎖等設備更智能、更安全的技術，卻出現這樣的問題，是一件足夠諷刺的事情。

更嚴重的在於，我們身處的這個智能化時代在給我們帶來更多便利的同時，又讓許多人、許多設備處在黑客攻擊的風險之中。

還是從指紋驗證說起

生物識別密碼系統，如指紋驗證識別，在智能手機上即將過時，但指紋傳感器在其完全消亡前仍可能存在多年，而這也爲黑客攻擊提供了潛在目標。

在德國漢堡第31屆混沌計算機俱樂部年度大會上，黑客Jan Krissler就演示瞭如何複製德國國防部長烏爾蘇拉·馮·德萊恩的指紋，而他只使用了她的幾張手部照片和一個名爲VeriFinger的指紋識別軟件。

通過使用標準相機從不同角度拍攝的幾張照片，Krissler爲烏爾蘇拉·馮·德萊恩複製出完整的指紋，然後製作了一個完美的，可以騙過指紋傳感器的模型。

其實，從指紋驗證傳感器，到智能電視，到3D打印機，再到無人機，網絡安全研究機構都已經通過實驗驗證了發起攻擊的可能性。

就像電影《我是誰：沒有絕對安全的系統》的片名一樣，沒有絕對安全的系統。

信息安全與智能化如影隨形，再怎麼小心都不爲過。

繞過手機傳感器

南洋理工大學的研究人員稱，你的智能手機傳感器可能會泄露你的PIN碼和密碼。

利用機器學習，以及從6部不同的智能手機傳感器上收集的信息，他們能在三次嘗試以內，以99.5%的準確率解鎖安卓手機，但前提是PIN碼在50個最常見的數字中。即使擴展到10000個PIN數字，成功率也能維持在83%左右。

對不同智能手機傳感器的入侵，往往會泄露用戶不會很快感受到的信息，如通過利用背景光傳感器，可根據有多少光被阻斷來分辨哪個按鍵正在被按下。

當智能電視變爲攻擊載體

一般人並不會將電視機直接當成電腦使用，但智能電視確實爲黑客提供了潛在攻擊目標。

最近，來自Oneconsult AG的安全顧問Rafael Scheel演示了黑客如何能夠在不接近智能電視機的情況下獲得其控制權：通過使用一個便宜的發射器將惡意指令嵌入被劫持的電視信號，Scheel能夠在信號附近獲得電視機的相關權限。

一旦電視被攻陷，它可能被利用來進一步攻擊家裏接入網絡的其它設備，或僅用電視攝像頭和麥克風來監視家庭成員的一舉一動。

3D打印時代的黑客活動

乍一看，可能難以理解爲什麼有人會想要入侵一臺3D打印機，而不是智能手機。然而，當你考慮到3D打印在原型設計等領域的應用時，原因就顯而易見了。

有研究人員在一次3D打印機入侵演示中，便向我們展示了保密的3D打印設計方案是如何丟失的：一個計算機科學家團隊使用一臺智能手機的內置傳感器來測量一臺3D打印機裏發出的電磁能量和聲波。這使得他們能夠收集到足夠的數據，並以高達94%的準確率來複制3D打印的物體。

更令人擔憂的是，另一組研究人員通過一次釣魚攻擊獲取了連接着3D打印機的電腦的權限，並修改其中的3D模型文件。結果就是一臺3D打印的無人機推進器被動出現故障，並導致該無人機墜毀。

基於無人機的“飛行”黑客

通過無人機設備，近距離的“空中”攻擊風險正在上升。在此方式下，黑客能夠獲得附近他人設備的控制權限。

爲了研究對機頂盒、智能手錶、智能冰箱等局部設備的近距離攻擊，來自著名安全公司Bishop Fox的研究人員已經研發出一個名爲Danger Drone的無人機黑客站。

通過使用其盤旋和飛行的能力，Danger Drone可以用於實施對附近某個家庭多種設備的攻擊。

通過聲波控制設備

不論是你的智能手機還是你的聯網汽車，黑客們可能利用聲波獲得其使用權限。

密歇根大學的研究人員演示了通過聲波來觸發微機電系統（MEMS）的加速器，也就是用來表明一個裝置是否在運行的芯片，也可以入侵各種不同的設備。

它們用一個5美元的揚聲器來播放不同頻率的聲音，能夠使被攻擊設備執行各種任務，如播放一個視頻、開啓一個應用，甚至可能啓動一輛汽車。雖然這種攻擊侷限在短距離內應用，但想到只用一個隨處可見的揚聲器就能入侵一個設備，真的令人非常不安。

人類纔是最大的安全漏洞

總體來看，互聯網的進化史也是一部與黑客鬥爭的歷史，也是一場持續的網絡攻防戰。

對於普通人來說，建立良好的安全防範意識與行爲，纔是最好的應對手段。畢竟，如電影《我是誰：沒有絕對安全的系統》中的一段臺詞：“人類纔是最大的安全漏洞。”