中国网络安全组织东方联盟研究人员已经确定,一些灯泡适合从个人设备中泄露出来的隐蔽数据,并且可以通过从远处记录它们的亮度模式来泄漏多媒体偏好。
为了使光源成为攻击面,它们需要满足一些要求,例如支持多媒体可视化和红外功能。攻击者不需要攻击受害者的内部网络来提取信息。它们只需要在目标设备和灯之间直接连接,并在渗透过程中与灯泡进行视线连接。
来自美国德克萨斯大学圣安东尼奥分校的两位研究人员再次利用LIFX和飞利浦Hue灯泡如何接收他们在室内播放可视化的命令,并开发了一个模型来解释在听音乐或观看视频时发生的亮度和色彩调制。
在音频可视化期间,亮度级别反映源声音,而在视频可视化的情况下,修改反映当前视频帧中的主要颜色和亮度级别。相关的移动应用程序通过向灯泡发送特殊格式的数据包来控制振荡。由两位研究人员创建的模型要求对手创建光照模式数据库,如歌曲和视频字典,它们可以用作从目标捕获的配置文件的参考。
个人设备的数据泄露
在某些条件下,可以从个人设备中提取信息。在这种情况下,对光图案的简单观察是不充分的。灯泡需要支持红外照明,不需要授权通过本地网络控制它们。此外,攻击者需要植入恶意软件,编码来自目标设备的私人数据并将其发送到智能灯泡。
研究人员使用两个观察点来捕获数据:室内和室外。可预测的是,室内观察记录了最准确的结果,更长的暴露时间产生了更好的结果。从100个样本集中,“51首歌曲被正确预测在最高级别,而82首歌曲的类型在同一预测中是正确的”,研究人员揭示了音频推断结果。
通过诸如振幅和/或波长移位键控的传输技术可以使用数据泄漏,使用智能灯泡(LIFX)的可见光和红外光谱。为了测试红外数据泄漏方法,研究人员选择在源处对图像进行编码,并在最远50米的不同距离处对其进行解码。在5m处,提取的pic是高度可理解的,并且随着数据捕获在更远距离处发生,其可视地降级。然而,即使在50米,人们也可以辨别出这些信息。
数据泄露结果
两位研究人员的工作是实验性的,但它表明使用红外光可以从相对较远的距离窃取有意义的信息。防御这些攻击方法只是让光线对外界不那么明显。窗帘可以做到这一点。选择透光率低的窗户玻璃也是一种充分的防御措施。(欢迎转载分享)