勒索軟件、釣魚郵件、APT攻擊……，當(dāng)我們談?wù)撘詳?shù)據(jù)安全為核心的網(wǎng)絡(luò)安全時(shí)，往往離不開這些耳熟能詳?shù)母哳l攻擊手法。然而，在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)攻擊手段已經(jīng)不再局限于這些熱門傳統(tǒng)方式，一些另辟蹊徑的網(wǎng)絡(luò)攻擊正悄然而至。想象一下，你在使用電腦時(shí)，卻沒有意識(shí)到個(gè)人數(shù)據(jù)可能正被電源指示燈的微弱閃爍所泄露，或者當(dāng)你在鍵盤上輸入密碼時(shí)，新型聲學(xué)攻擊卻悄無聲息地記錄下了每一個(gè)按鍵……

這些攻擊手段不僅在于其難以注意到的隱匿性，對(duì)技術(shù)手法也提出了不同要求，但無論哪一種，都可能對(duì)目標(biāo)隱私和數(shù)據(jù)安全帶來巨大風(fēng)險(xiǎn)。本文盤點(diǎn)了近期由安全研究人員發(fā)現(xiàn)的五種讓人意想不到潛在攻擊方式，這些方式的誘發(fā)因子都有一個(gè)共同特點(diǎn)——離我們措手可得且與生活息息相關(guān)。

鏡片反射效應(yīng)泄露視頻會(huì)話數(shù)據(jù)

鏡片反光效應(yīng)能暴露個(gè)人所處環(huán)境已不是什么新鮮事，早在幾年前，日本某女明星深夜回家的途中遭到某狂熱粉絲猥褻，事后警方調(diào)查得知，這名粉絲通過明星自拍照中瞳孔所反射出的環(huán)境信息，并借助谷歌街景功能，成功找到了自拍時(shí)所處的位置，并進(jìn)一步尾隨鎖定了其居住的公寓。

隨著近來各家手機(jī)、電腦廠商狂卷硬件配置，其自帶的攝像頭像素已經(jīng)能夠輕松錄制1080p乃至4K超高清分辨率視頻，這些清晰的畫面在給出令人驚嘆的視覺效果的同時(shí)，對(duì)各種細(xì)節(jié)的捕捉也讓數(shù)據(jù)泄露的風(fēng)險(xiǎn)迅速放大。在現(xiàn)代職場(chǎng)越發(fā)流行的視頻會(huì)議中，攻擊者可能通過這些精細(xì)畫面，捕捉到參會(huì)者眼鏡片上乃至眼睛瞳孔中反射出的電腦屏幕畫面，從而泄露隱私或機(jī)密信息。

美國(guó)密歇根大學(xué)與中國(guó)浙江大學(xué)2022年合作進(jìn)行的一項(xiàng)研究描述了基于光攻擊的切實(shí)可行的威脅模型，結(jié)果顯示通過鏡片反射，使用720p網(wǎng)絡(luò)攝像頭可重現(xiàn)和識(shí)別高度僅10毫米的屏幕文本，準(zhǔn)確率超過了75%，對(duì)應(yīng)的字體大小大約為50—60像素，通常用在PPT或網(wǎng)站標(biāo)題文本中。而隨著4K攝像頭的逐漸普及，其精細(xì)度能夠讀取幾乎所有網(wǎng)站和一些文本文檔上的大多數(shù)標(biāo)題文本。

這種攻擊方式會(huì)受到視頻中人物膚色、環(huán)境光強(qiáng)度、屏幕亮度、文本與網(wǎng)頁(yè)或應(yīng)用程序背景的對(duì)比度以及眼鏡鏡片反射率等諸多因素影響，并非每個(gè)戴眼鏡的人都一定會(huì)向?qū)Ψ叫孤剁R片反射的屏幕信息。

此外，一些視頻會(huì)議軟件也開始采取應(yīng)對(duì)措施，比如Zoom已經(jīng)在其背景和效果設(shè)置菜單中提供了一個(gè)視頻濾波來過濾反射。研究人員也實(shí)現(xiàn)了一個(gè)實(shí)時(shí)眼鏡模糊原型，可以將修改后的視頻流注入到視頻會(huì)議軟件。原型程序可定位眼鏡區(qū)域，并使用高斯濾波來模糊該區(qū)域。

手機(jī)環(huán)境光傳感器可泄露用戶隱私信息

除了手機(jī)攝像頭，看似安全、并不采集任何音視頻信息的環(huán)境光傳感器也被證實(shí)存在信息泄露風(fēng)險(xiǎn)。麻省理工學(xué)院計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）的一項(xiàng)研究顯示，Android 和 iPhone 手機(jī)的環(huán)境光傳感器可以變成某種意義上的“攝像頭”，讓攻擊者可以探測(cè)用戶行為及其周圍環(huán)境。

智能手機(jī)環(huán)境光傳感器通常用于自動(dòng)調(diào)節(jié)屏幕亮度。然而，該實(shí)驗(yàn)室的研究人員聲稱，這些傳感器可用于生成用戶周圍環(huán)境的照片。他們提出了一種計(jì)算成像算法，可以從屏幕的角度恢復(fù)環(huán)境圖像，所需要的只是這些傳感器中的單點(diǎn)光強(qiáng)度變化。

研究表明，環(huán)境光傳感器可以攔截各種用戶手勢(shì)，并捕獲用戶在觀看視頻時(shí)如何與手機(jī)互動(dòng)。麻省理工學(xué)院電氣工程與計(jì)算機(jī)科學(xué)系 (EECS) 和 CSAIL 的 Yang Liu 博士表示，環(huán)境光傳感器會(huì)在未經(jīng)許可的情況下捕獲我們正在做的事情，并且與顯示屏相結(jié)合，這些傳感器可能會(huì)給用戶帶來隱私風(fēng)險(xiǎn)。

這項(xiàng)研究的關(guān)鍵點(diǎn)是消除人們的一種誤解，即環(huán)境光傳感器無法向攻擊者透露任何有意義的私人信息，因此應(yīng)用程序應(yīng)該能夠自由地請(qǐng)求訪問。為此，研究人員建議操作軟件制造商收緊權(quán)限并降低傳感器的精度和速度，并允許用戶對(duì)應(yīng)用程序權(quán)限進(jìn)行控制，限制其使用環(huán)境光傳感器。其他措施可能包括在未來的設(shè)備中配備背向用戶的環(huán)境光傳感器，例如設(shè)備的側(cè)面。

新型聲學(xué)攻擊通過鍵盤擊鍵竊取數(shù)據(jù)

難以想象，看似無差別的鍵盤擊鍵聲音也能泄露輸入的數(shù)據(jù)。來自英國(guó)大學(xué)的一組研究人員訓(xùn)練了一種深度學(xué)習(xí)模型，該模型可利用麥克風(fēng)記錄并分析鍵盤擊鍵的聲音，以此來竊取目標(biāo)設(shè)備中的數(shù)據(jù)，準(zhǔn)確率高達(dá) 95%。

這種攻擊所需要的聲音采集可謂相當(dāng)容易，因?yàn)楝F(xiàn)實(shí)中的大量場(chǎng)景往往都擁有可以錄制高質(zhì)量音頻的錄音設(shè)備，聲學(xué)攻擊變得更加簡(jiǎn)單。

因?yàn)橛?xùn)練算法的需要，攻擊的第一步要記錄目標(biāo)鍵盤上一定次數(shù)的擊鍵聲音，錄音設(shè)備可以是附近手機(jī)內(nèi)的麥克風(fēng)，此時(shí)，該手機(jī)可能已經(jīng)感染可調(diào)用麥克風(fēng)權(quán)限的惡意軟件，或者可通過ZOOM等會(huì)議軟件，利用遠(yuǎn)程會(huì)議等渠道記錄目標(biāo)的鍵盤擊鍵聲音。

研究人員以MacBook為實(shí)驗(yàn)對(duì)象，在其36個(gè)按鍵上分別按壓25次產(chǎn)生的聲音來收集訓(xùn)練數(shù)據(jù)，錄音設(shè)備則是一臺(tái)距離MacBook 17 厘米處的 iPhone 13 mini。隨后，從記錄中生成波形和頻譜圖，將每個(gè)按鍵的可識(shí)別差異可視化，并執(zhí)行特定的數(shù)據(jù)處理步驟以增強(qiáng)可用于識(shí)別擊鍵的信號(hào)。

對(duì)擊鍵音頻進(jìn)行采樣

生成的頻譜圖

頻譜圖被用來訓(xùn)練稱之為CoAtNet的圖像分類器，該過程需要對(duì)相關(guān)參數(shù)進(jìn)行一些實(shí)驗(yàn)，直到獲得最佳預(yù)測(cè)精度結(jié)果。實(shí)驗(yàn)中結(jié)果顯示，在直接調(diào)用iPhone麥克風(fēng)的情況下，CoANet記錄的準(zhǔn)確率達(dá)到 95%，而通過 Zoom 記錄的準(zhǔn)確率為 93%。Skype 的準(zhǔn)確率較低，但仍然可用，為 91.7%。

如此高的準(zhǔn)確率無疑對(duì)用戶的數(shù)據(jù)安全構(gòu)成一定威脅，造成賬戶密碼、私密聊天等信息的泄露。此外，即使是一些非常安靜的鍵盤，攻擊模型也被證明非常有效，因此在機(jī)械鍵盤上添加消音器或給鍵盤貼膜不太可能有效遏制聲音信息的泄露。

研究人員建議嘗試改變打字風(fēng)格，或使用軟件重現(xiàn)擊鍵聲音、白噪聲以及基于軟件的擊鍵音頻過濾器，最好在可行的情況下采用生物識(shí)別身份驗(yàn)證，利用密碼管理器來避免手動(dòng)輸入敏感信息。

電源指示燈的閃爍也能泄露密碼

來自內(nèi)蓋夫本古里安大學(xué)和康奈爾大學(xué)的研究人員發(fā)現(xiàn)，通過分析設(shè)備電源 LED 指示燈的變化竟然也能破解設(shè)備密鑰。

研究人員表示，CPU 執(zhí)行的密碼計(jì)算會(huì)改變?cè)O(shè)備的功耗，從而影響設(shè)備電源 LED 的亮度。通過利用這一觀察結(jié)果，攻擊者可以利用視頻攝像設(shè)備，如聯(lián)網(wǎng)的監(jiān)控?cái)z像頭，從智能卡讀卡器中提取加密密鑰。

具體來說，基于視頻的密碼分析是通過獲取 LED 亮度快速變化的視頻片段，并利用攝像機(jī)的滾動(dòng)快門效果捕獲物理發(fā)射來完成。這是由于功率LED直接連接到電路的電源線，而電路缺乏有效的手段（例如濾波器、穩(wěn)壓器）來解耦與功耗的相關(guān)性。

在一次模擬測(cè)試中，研究人員通過分析被劫持的聯(lián)網(wǎng)安全攝像頭所拍攝到的電源LED閃爍視頻片段，從一張智能卡中恢復(fù)了256位ECDSA密鑰；第二次測(cè)試則是從三星Galaxy S8手機(jī)中提取378位的SIKE密鑰，方法是將iPhone 13的攝像頭對(duì)準(zhǔn)連接到USB集線器的羅技Z120揚(yáng)聲器的電源LED燈進(jìn)行拍攝，該集線器也被用來給手機(jī)充電。

該攻擊手法也存在一些限制條件，比如需要將攝像頭放置在一定距離內(nèi)，并能夠直接看到電源 LED指示燈，且記錄時(shí)長(zhǎng)不得少于65分鐘。但該研究示了一個(gè)基于功耗的旁路通道，能夠泄露可用于密碼分析的敏感信息。

無線充電器操縱手機(jī)語(yǔ)音助手

佛羅里達(dá)大學(xué)和 CertiK近期的一項(xiàng)學(xué)術(shù)研究表明，名為“VoltSchemer”的新攻擊利用電磁干擾，可以讓現(xiàn)成的無線充電器操縱智能手機(jī)的語(yǔ)音助手。

這種近乎有些科幻的方式被研究人員描述為一種利用電磁干擾來操縱充電器行為的攻擊。無線充電通常依靠電磁感應(yīng)原理，利用電磁場(chǎng)在兩個(gè)物體之間傳輸能量。充電器包含一個(gè)發(fā)射器線圈，交流電流經(jīng)其中以產(chǎn)生振蕩磁場(chǎng)，智能手機(jī)包含一個(gè)接收器線圈，可捕獲磁場(chǎng)能量并將其轉(zhuǎn)換為電能為電池充電。攻擊者可以操縱充電器輸入端提供的電壓，并微調(diào)電壓波動(dòng)（噪聲），以產(chǎn)生干擾信號(hào)，從而改變所生成磁場(chǎng)的特性。電壓操縱可以通過插入設(shè)備來引入，不需要對(duì)充電器進(jìn)行物理修改或?qū)χ悄苁謾C(jī)設(shè)備進(jìn)行軟件感染。

VoltSchemer 攻擊概述

研究人員表示，這種噪聲信號(hào)會(huì)干擾充電器和智能手機(jī)之間的常規(guī)數(shù)據(jù)交換，二者都使用管理充電過程的微控制器，從而能夠扭曲電源信號(hào)并破壞高精度傳輸?shù)臄?shù)據(jù)。從本質(zhì)上講，VoltSchemer 利用了無線充電系統(tǒng)硬件設(shè)計(jì)和管理其通信的協(xié)議中的安全缺陷。

為了能夠控制語(yǔ)音助手，研究人員向 iOS (Siri) 和安卓 (Google Assistant) 上的助手發(fā)送聽不見的語(yǔ)音命令，并證實(shí)可以通過在充電站范圍內(nèi)傳輸?shù)脑肼曅盘?hào)注入一系列語(yǔ)音命令，實(shí)現(xiàn)呼叫發(fā)起、瀏覽網(wǎng)站或啟動(dòng)應(yīng)用程序。

這種攻擊手法的局限性在于攻擊者首先必須記錄目標(biāo)的激活命令，然后添加到電源適配器的輸出語(yǔ)音信號(hào)中。其中在 10kHz 以下的頻段中包含最重要的信息。值得注意的是，引入惡意電壓波動(dòng)的插入設(shè)備可以偽裝成任何合法配件，通過各種方式分發(fā)，例如促銷贈(zèng)品、二手產(chǎn)品等。

側(cè)信道攻擊需引起重視

上述讓人難以想象的攻擊方式幾乎都可以用一個(gè)專門的名詞——側(cè)信道攻擊（SCA，亦稱旁路攻擊、邊信道攻擊）來形容。它最早誕生于上世紀(jì)90年代，指主要通過利用非預(yù)期的信息泄露來間接竊取信息。換句話說，側(cè)信道攻擊不通過直接竊取的方式來獲得信息，而是通過一些 "旁門左道 "的方式進(jìn)行。

側(cè)信道攻擊的預(yù)防難點(diǎn)在于它利用了設(shè)備無意且在很大程度上無法避免的行為，比如手機(jī)環(huán)境光傳感器記錄光線變化、打字時(shí)鍵盤產(chǎn)生的敲擊音以及電源指示燈的閃爍，這些特征是設(shè)備正常工作運(yùn)轉(zhuǎn)的必然屬性。雖然可以采取一些措施對(duì)一些外在表象進(jìn)行掩蓋，但本質(zhì)上無法徹底消除。

另一方面，側(cè)信道攻擊的非侵入性讓攻擊者大多無需對(duì)目標(biāo)設(shè)備進(jìn)行干預(yù)，也很難在事后調(diào)查出攻擊過程的蛛絲馬跡，因此，其高度的隱匿性讓受害者從攻擊開始到結(jié)束都毫無感知或察覺。

而隨著人工智能的發(fā)展，機(jī)器學(xué)習(xí)也讓側(cè)信道攻擊變得越發(fā)強(qiáng)大，例如，深度學(xué)習(xí)模型可以用于分析處理器的運(yùn)行數(shù)據(jù)，以識(shí)別和預(yù)測(cè)可能的側(cè)信道攻擊，并用于模擬和分析各種側(cè)信道攻擊的效果和可能的影響。由于深度學(xué)習(xí)對(duì)數(shù)據(jù)特征的敏感性，應(yīng)用深度學(xué)習(xí)算法還可以有效提高側(cè)信道攻擊的效率和準(zhǔn)確性。

側(cè)信道攻擊的防御思路

側(cè)信道的防御難度要遠(yuǎn)遠(yuǎn)大于其實(shí)施攻擊的難度，攻擊可以只攻其一點(diǎn)，但是防御要兼顧方方面面。而側(cè)信道防御的挑戰(zhàn)在于難以設(shè)計(jì)出一個(gè)通用的框架來防御所有的攻擊。側(cè)信道防御技術(shù)通過在根源上消除側(cè)信息泄漏、修改電路設(shè)計(jì)，增加噪聲，使得側(cè)信息少泄漏、加入掩碼使得側(cè)信息泄漏與運(yùn)算無關(guān)、或者使用分級(jí)防御技術(shù)，使得攻擊者無法利用有限的側(cè)信息泄露恢復(fù)出關(guān)鍵的秘密信息，從而增加攻擊難度。

針對(duì)單一側(cè)信道攻擊，防御措施有兩類思路：第一類思路是去除側(cè)信息的數(shù)據(jù)依賴性；第二類思路是通過掩蓋側(cè)信息，弱化其某些特征，使得攻擊者難以分辨和利用。

在去除側(cè)信息的數(shù)據(jù)依賴性方面，主要有對(duì)側(cè)信息進(jìn)行均衡化、轉(zhuǎn)移側(cè)信息的數(shù)據(jù)依賴性兩種方法。在掩蓋側(cè)信息方面，主要有對(duì)側(cè)信息進(jìn)行隨機(jī)化、加入噪聲或屏蔽隔離技術(shù)，降低側(cè)信息的信噪比兩種方法。

目前，針對(duì)單個(gè)抽象層次的防御技術(shù)發(fā)展迅速，但是缺少將幾種防御技術(shù)相結(jié)合的通用框架，不能保證防御對(duì)策對(duì)種類繁多的側(cè)信道攻擊方法都有效。側(cè)信道防御技術(shù)的可復(fù)合性和有效性目前仍然是有待持續(xù)研究和攻克的方向。

后記

雖然任何設(shè)備的運(yùn)轉(zhuǎn)都有其外在表象，這些表象特征難以消除，也許在某一天就會(huì)被聰明的攻擊者利用，淪為側(cè)信道攻擊的新手法。防范側(cè)信道攻擊就如同抵御勒索軟件一樣，似乎又是一場(chǎng)暫時(shí)還看不到頭的持久戰(zhàn)。

無疑，側(cè)信道攻擊讓安全防御人員更加清楚地意識(shí)到網(wǎng)絡(luò)威脅的廣泛性和復(fù)雜性，還存在眾多未被發(fā)現(xiàn)或注意到的防御死角，意味著不僅需要針對(duì)傳統(tǒng)的網(wǎng)絡(luò)攻擊手段繼續(xù)加強(qiáng)防護(hù)，同時(shí)也要重視那些微小卻可能帶來巨大危害的側(cè)信道攻擊，唯有不斷強(qiáng)化安全意識(shí)，盡力采取有力的防范措施，才能更好地保護(hù)隱私和數(shù)據(jù)安全。