全部

显示器也不安全了? 黑客能窃取数据 篡改信息

来源:E安全

作者:

2016-09-14 10:42:09

我们将显示器视为被动实体。计算机向显示器发送数据,它们如同魔术师般转化为生成文字和图片的像素。

但如果黑客可以黑进显示器会如何?

事实证明,确实有可能。一组研究人员发现在不需要进入实际电脑的情况下,直接入侵控制显示器的微型计算机,从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像。

经过长达两年的研究、反向工程、在控制显示器和固件的处理器上实验,Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器。

在DEF CON黑客大会上,Red Balloon的首席科学家Ang Cui博士以及首席研究科学家Jatin Kataria演示了“黑暗显示器:反向与利用现代显示器中无所不在的屏幕显示控制器(A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors)”。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上,链接地址:https://github.com/redballoonshenanigans/monitordarkly

本周早些时候,Cui及同事在Red Balloon位于纽约市的办公室进行了演示,展示他们如何黑进显示器。从本质上而言,如果黑客能让你访问恶意网站或点击网络钓鱼链接,他们然后能以显示器的嵌入计算机为目标,尤其是固件实施攻击。

黑客之后可以植入程序以便进步一获取指令。然后,黑客可以与植入程序通信,这种做法相当精明。植入程序等待通过闪烁像素发送的命令(可能包含在任何视频或网站内)。基本上,这个像素上传代码至显示器。从这一点可以看出,黑客能扰乱显示器。

通过利用被黑进的显示器,他们可以控制像素并通过URL添加安全锁图标,可以将PayPal账户余额从0美元修改显示为十亿美元,还可以将发电厂控制界面的警报状态从绿色改为红色。

该研究小组先将Dell U2410显示器拆解,最终找出如何改变屏幕像素的方法。他们发现固件存在安全隐患。攻击者会需要通过HDMI或USB端口访问显示器,但之后显示器将被劫持。这种情况听起来像勒索软件,不让用户查看显示器上显示的信息,除非愿意缴纳赎金。

研究人员强调,不只Dell显示器存在漏洞。在演示文稿中,许多显示器被黑。他们确定,包括宏碁、惠普和三星在内的品牌易受无法检测的固件攻击。

实际上,Cui表示,该漏洞可用来暗中监视,也能显示实际上不存在的内容。如果黑客胡乱操纵控制发电厂的显示器,也许制造一个虚假紧急情况,造成严重后果。

如果你有显示器,就可能受影响

研究人员警告称,该漏洞可能潜在影响十亿台显示器,因为市场上最常见的品牌都包含易受攻击的处理器。

有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容,比如在无线热点安装Newstweek设备。远程攻击者可用来操纵热点中所有人的信息。

尽管如此,对我们大多数在工作场所或家里使用的显示器而言,显示不正确信息的情况不太可能发生。如果攻击者能访问许多显示器,然后会同时影响大量用户,比如在股票交易者用来的显示器上显示伪造信息。

顽固的攻击者能利用显示器主动监视用户的所有行为,甚至会窃取数据。

Cui表示,:但是,这不是简单的入侵行为。至于此类攻击的实用性?他称:“我们不需要任何特权访问电脑执行这类攻击。”当谈及修复的现实可能性时,Cui表示,不是那么容易的事,未来如何构建更安全的显示器,我们无从得知。

这类攻击,有一个缺点,那就是加载缓慢,因此也许不是快速控制受害者计算机最有效的方法。但如果黑客的目标是工业控制系统显示器,不会是什么问题,因为这些显示器大多为静态。

对于Cui而言,在任何情况下,研究的目的是为了展示可能性,让人们了解显示器并非牢不可破。

Cui总结道,“我们现如今生活的世界,连显示器都无法信任。”

[责任编辑:杨凡、杜文娟]

想爆料?请登录《阳光连线》( http://minsheng.iqilu.com/)、拨打新闻热线0531-66661234或96678,或登录齐鲁网官方微博(@齐鲁网)提供新闻线索。齐鲁网广告热线0531-81695052,诚邀合作伙伴。

恒大17.4亿巨资回购股票 龙头房企估值上涨空间打开

中国恒大(HK.03333)于13日傍晚发布公告,斥资约17.4亿港元回购2.03亿股,这也是公司今年来大手笔回购股票。[详细]
齐鲁网 2017-04-13

胶州企业家做客央视 讲述守信创业故事

4月11日下午,青岛中仁日用化妆品公司董事长张述仁先生做客中央电视台CCTV——老故事频道,在中央电视台演播室完成企业系列访谈《信用中国...[详细]
齐鲁网 2017-04-13

山东省实验中学西校区第四届科技创新运动会举行

山东省实验中学西校区一年一度的“科技创新月”近期拉开帷幕。日前,“科技创新运动会”隆重举行,同学们各展所长,参与了平面广告设计、自...[详细]
齐鲁网 2017-04-13

山东省实验中学西校区举行安全教育日疏散演练举行

日前,第22个全国中小学生安全教育日,为增强全体师生的安全意识,提高师生的自救、自护能力,山东省实验中学西校区利用升旗仪式开展教学楼...[详细]
齐鲁网 2017-04-13

山东省实验中学举办专题讲座“自主招生,我们现在需要做些什么?”

日前,一场面向高一学生家长的专题讲座“自主招生,我们现在需要做些什么?”在省实验中学实验科苑六楼举行,报告由教导处侯成刚老师主讲。[详细]
齐鲁网 2017-04-13

济南工程职院专题学习悉尼协议助推优质高职建设

近日,济南工程职业技术学院举办“学习悉尼协议,建设优质高职”专题讲座,邀请麦可思公司副总裁、麦可思研究院副院长、高等教育信息化专家...[详细]
齐鲁网 2017-04-13

首届泰山花朝节即将在泰山天颐湖开幕 游玩攻略请拿好

百花生日是良辰,未到花朝一半春。万紫千红披锦绣,尚劳点缀贺花神。随着春天的到来,微信朋友圈被赏花踏青照刷屏。泰山天颐湖千亩花海盛开...[详细]
齐鲁网 2017-04-13

科力远:多款混合动力总成系统年内交付

中国领先的混合动力总成系统技术平台(以下简称“CHS平台”)总经理王彦斌今日在中国汽车工业协会2017年一季度信息发布会上透露,目前科力远...[详细]
中国网 2017-04-12

四月飘雪?杨花柳絮在作祟

春天到来的方式,是铺天盖地的,你看那肆意妄为的柳絮、杨絮就知道了。大王派猴子来巡山,春天派柳絮和杨絮来报信!北方的春天,总免不了“...[详细]
齐鲁网 2017-04-12
版权所有: 齐鲁网 All Rights Reserved
鲁ICP备09062847号 网上传播视听节目许可证1503009 互联网新闻信息服务许可证3712006002
通讯地址:山东省济南市经十路81号  邮编:250062
技术支持:山东广电信通网络运营有限公司