無人機裝上機載掃描設備利用WiFi漏洞「透視」牆壁,檢測智慧型設備位置

無人機裝上機載掃描設備利用WiFi漏洞「透視」牆壁,檢測智慧型設備位置

ADVERTISEMENT

無人機也並非完全安全。 

如今隨著無人機成為越來越受歡迎的娛樂設備,空中無人機數量也隨之增多,但是就是這些飛在你家窗外的這些無人機,可能正在偷偷「窺視」著你。 

最近,滑鐵盧大學的研究人員將一架20美元購入的無人機改造成了一個機載掃描設備,能夠檢測到房間裡連著WiFi的所有設備的位置。 

在日前舉辦的第28屆行動運算和網路國際會議上,研究人員Ali Abedi和Deepak Vasisht展示了該研究結果。 

據他們所說,該設備能夠通過「位置暴露隱私攻擊」(location-revealing privacy attack),進而操縱WiFi網路中的資料,並「看穿牆壁」,以清晰掌握每個設備的具體位置。 

如何透過WiFi看穿牆壁 

這個機載掃描設備被稱為Wi-Peep。 

無人機裝上機載掃描設備利用WiFi漏洞「透視」牆壁,檢測智慧型設備位置

研究人員表示,Wi-Peep利用了IEEE 802.11中的安全缺陷——這是一種用於本地接入網路的長期無線協定,在資料攔截和竊聽方面一直存在問題。該程式部署了所謂的「飛行時間」技術 (「time-of-flight」 technique,ToF),該技術使用資料處理技巧來測量訊號和物體之間的物理距離。 

這確實是可行的。 

其實大部分的WiFi設備都存在安全性漏洞,研究人員稱之為「禮貌WiFi」(polite WiFi)。從本質上講,智慧型設備隨時都準備好自動回應其所在區域內其他設備的「聯繫嘗試」,即使網路透過密碼保護得到保護。 

Wi-Peep就是利用了這個漏洞。為此,系統會首先發出一個ToF訊號,試圖與本地設備聯繫,隨後允許特定建築物或區域內特定WiFi供電設備的「秘密定位」。 

設備的性質可以透過從MAC位址中提取的資訊進行評估,該位址是特定網路內設備的唯一識別碼。也就是說,家裡的智慧型電視、亞馬遜Echo、手機、筆記型電腦等任何「智慧型」設備都會暴露無遺。 

用位置資訊推斷闖空門時機,還能遠端操作 

這些位置資訊對於駭客們來說都是十分重要的參考。 

研究人員就設想了一些令人細思極恐的場景,例如Wi-Peep的秘密資料收集就可能會協助駭客「推斷出住戶、監控攝影鏡頭甚至家庭入侵感測器的位置」。 

再更進一步的話,駭客們能首先使用這些資訊定位筆記型電腦等貴重物品,透過追蹤使用者的手機或智慧型手錶來判斷住戶是否在家,以此來推斷闖空門的理想時間。 

Abedi在演講中表示,該工具可用於「透過追蹤手機或智慧型手錶的位置來追蹤銀行內保安的行動」,同樣,小偷可以辨識家中智慧型設備的位置和類型,包括安全監控鏡頭、筆記型電腦和智慧型電視,以找到合適的闖入對象。 

還值得一提的是,該設備能夠透過無人機進行操作,這意味著駭客可以進行遠端使用降低被抓獲的風險。 

Abedi和Vasisht表示,他們希望該研究能夠為WiFi協議提供更好的保護,這樣未來的反覆運算就不會像當前的反覆運算那樣容易受到攻擊。 

研究人員寫道:「我們希望我們的工作能夠為下一代協定的設計提供資訊。」 

實用嗎?網友爭辯不休

這個研究自然在網上引起了不少討論。 

例如有網友就表示,研究人員很喜歡將這些東西作為一種假設來示範,但是類似的情況在現實中很少發生。 

這有很多原因。其中很重要的一個原因是,這些技術可能無法很好地應用在現實生活的環境,或者要求非常具體,以至於不經常適用,或者獲得的資料品質太差,在現實世界中壓根沒有用。 

不過也有網友對此反駁到,現實中往往出現的是一些比這些更奇怪的東西,例如范·埃克竊聽(Van Eck phreaking)。 

范·埃克竊聽指的是透過偵測電子設備發出的電磁輻射進行電子竊聽的方法。當竊聽者透過特殊的儀器設備接收電子設備工作時發出的電磁輻射,就能據此推測出正在處理的資訊內容,進而達到竊聽的目的。 

除此之外,也有網友對該設備能讓駭客更好地隱蔽自己提出了質疑。 

他提出,在很多時候,操控無人機比在汽車內做類似的事情要顯眼得多。除了無人機本身發出的一些噪音能吸引一些路人的目光外,無人機還必須返程回到遠端操縱者身邊,這也會讓目擊者有更深的記憶。 

而無人機一般都有自己的WiFi和手機訊號,這與遠端飛行操縱者的手機可能有綁定關係。 

人們會習慣性地認為無人機能夠讓某人在遠處隱蔽操作。這對於一個先進的、有組織的、有資金的組織,如政府或大公司,確實是這樣,但對於個人來說,即使是老手,也很難做到這一點。 

不管怎樣,這樣的研究也確實在警示著我們,那些意想不到的危險可能就會發生在身邊。

資料來源:

bigdatadigest
作者

大數據文摘(bigdatadigest)成立於2013年7月,專注數據領域資訊、案例、技術,在多家具有影響力的網站、雜誌設有專欄,致力於打造精準數據分析社群。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則