初审编辑:
责任编辑:孙翔
我们将显示器视为被动实体。计算机向显示器发送数据,它们如同魔术师般转化为生成文字和图片的像素。
但如果黑客可以黑进显示器会如何?
事实证明,确实有可能。一组研究人员发现在不需要进入实际电脑的情况下,直接入侵控制显示器的微型计算机,从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像。
经过长达两年的研究、反向工程、在控制显示器和固件的处理器上实验,Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器。
在DEF CON黑客大会上,Red Balloon的首席科学家Ang Cui博士以及首席研究科学家Jatin Kataria演示了“黑暗显示器:反向与利用现代显示器中无所不在的屏幕显示控制器(A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors)”。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上,链接地址:https://github.com/redballoonshenanigans/monitordarkly
本周早些时候,Cui及同事在Red Balloon位于纽约市的办公室进行了演示,展示他们如何黑进显示器。从本质上而言,如果黑客能让你访问恶意网站或点击网络钓鱼链接,他们然后能以显示器的嵌入计算机为目标,尤其是固件实施攻击。
黑客之后可以植入程序以便进步一获取指令。然后,黑客可以与植入程序通信,这种做法相当精明。植入程序等待通过闪烁像素发送的命令(可能包含在任何视频或网站内)。基本上,这个像素上传代码至显示器。从这一点可以看出,黑客能扰乱显示器。
通过利用被黑进的显示器,他们可以控制像素并通过URL添加安全锁图标,可以将PayPal账户余额从0美元修改显示为十亿美元,还可以将发电厂控制界面的警报状态从绿色改为红色。
该研究小组先将Dell U2410显示器拆解,最终找出如何改变屏幕像素的方法。他们发现固件存在安全隐患。攻击者会需要通过HDMI或USB端口访问显示器,但之后显示器将被劫持。这种情况听起来像勒索软件,不让用户查看显示器上显示的信息,除非愿意缴纳赎金。
研究人员强调,不只Dell显示器存在漏洞。在演示文稿中,许多显示器被黑。他们确定,包括宏碁、惠普和三星在内的品牌易受无法检测的固件攻击。
实际上,Cui表示,该漏洞可用来暗中监视,也能显示实际上不存在的内容。如果黑客胡乱操纵控制发电厂的显示器,也许制造一个虚假紧急情况,造成严重后果。
“如果你有显示器,就可能受影响”
研究人员警告称,该漏洞可能潜在影响十亿台显示器,因为市场上最常见的品牌都包含易受攻击的处理器。
有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容,比如在无线热点安装Newstweek设备。远程攻击者可用来操纵热点中所有人的信息。
尽管如此,对我们大多数在工作场所或家里使用的显示器而言,显示不正确信息的情况不太可能发生。如果攻击者能访问许多显示器,然后会同时影响大量用户,比如在股票交易者用来的显示器上显示伪造信息。
顽固的攻击者能利用显示器主动监视用户的所有行为,甚至会窃取数据。
Cui表示,:但是,这不是简单的入侵行为。至于此类攻击的实用性?他称:“我们不需要任何特权访问电脑执行这类攻击。”当谈及修复的现实可能性时,Cui表示,不是那么容易的事,未来如何构建更安全的显示器,我们无从得知。
这类攻击,有一个缺点,那就是加载缓慢,因此也许不是快速控制受害者计算机最有效的方法。但如果黑客的目标是工业控制系统显示器,不会是什么问题,因为这些显示器大多为静态。
对于Cui而言,在任何情况下,研究的目的是为了展示可能性,让人们了解显示器并非牢不可破。
Cui总结道,“我们现如今生活的世界,连显示器都无法信任。”
初审编辑:
责任编辑:孙翔
据香港《南华早报》网站9月11日报道,简·梁(音)坐在北京妇幼保健院拥挤吵闹的候诊室里,但这嘈杂的环境并没有使她烦躁,相反,她觉得十分幸运。据中国媒体报道,当局估算,在未来五年的“二孩婴儿潮”中,每年将多出生300万婴儿。[详细]
9月迎来开学季,不少父母会在新学期为孩子准备一份小惊喜。赵薇表示,360智能可穿戴设备不想靠硬件盈利,而是要依靠自己的服务来满足用户,实现更好的社会价值。[详细]
中秋节赏月是中国人的习俗之一。”酒吧的工作人员告诉记者,“老爷爷说,每年中秋都会跟老伴一起赏月,他之前就来后海探查过一番。由于近日北京天气不佳,为了让老伴不留遗憾,他在孩子的帮助下,偷偷准备了这个巨大的月亮灯。[详细]
不少新人趁中秋、十一假期结婚,但要注意,紧张忙碌的婚礼容易让人忙中出错,不仅给新人造成损失,还会引发纠纷。被告喜铺公司是否有为原告方保管红包的合同义务,以及原告方主张的两个红包内的现金数额如何确定,是本案的争议焦点。[详细]
匈牙利佩斯州18日发生两架小型飞机相撞事故,共造成4人死亡。据佩斯州灾害管理局网站的消息,两架失事小飞机中,一架载有3人,全部丧生;另一架载有4名跳伞者,在事故发生前已跳离飞机并安全着陆,但驾驶员不幸遇难。[详细]
巴西政府发起“零寨卡”灭蚊行动,授权卫生部门在警方协助下进入所有建筑物以排查、消除蚊虫孳生地。从寨卡疫情目前传播情况看,寨卡病毒的传播途径已经不局限于蚊虫叮咬,输血乃至性接触等行为都存在感染、传播寨卡病毒的风险。[详细]