如果能忍受一時的疼痛,把數字裝置植入到皮膚組織之下,就可以躲過實體掃描和數字掃描,得以成功潛入目标内部。
無線安全工程師塞斯·沃爾,就在左手的虎口處植入了一枚晶片。這枚晶片含有nfc(近場通信)天線,可以向安卓手機發送ping資料包,要求建立連接配接。一旦手機使用者同意開放連接配接并安裝一個惡意檔案之後,他們的手機就會被連接配接到一台遠端計算機。該計算機的控制者可以進一步利用這些手機,比如拍照、錄音或撥打電話。
塞斯·沃爾遠控手機自拍
沃爾準備在5月份的“黑客邁阿密”會議上與安全顧問羅德·索托一起示範這種悄然型攻擊技術。沃爾承認,目前隻是一個比較原始的研究,使用的是現成的工具和已知的nfc攻擊技術。但這種技術将給犯罪分子的“社會工程工具包”中,又增加了一件利器。
體内植入的晶片可以輕而易舉避開機場或其他進階安全場所的電子裝置的檢測。沃爾以前在海軍服役的時候,帶着體内的晶片每天都會通過門口的掃描裝置,但從來沒被檢測出來。
想要檢測出這枚晶片,除非使用x光掃描我的身體。”
随着nfc使用範圍的日益廣泛,體内植入可以提供一個進入各種網絡的途徑。而且晶片的編碼越複雜,破壞力就越大,尤其利用零日漏洞的代碼,後果不堪設想。
此外,植入成本和對人體的影響也很小。沃爾的晶片是一名沒有正規資質的地下醫師植入的,手術費用40美元。因為當地的法律限制人體改造。晶片則是從一家名為上海勵識(freevision)的中國電子企業購入,這種晶片原本是出于農業作業的目的,植入到牛的身上。該晶片含有888個記憶體位元組,并用 schott 8625型号的生物玻璃膠囊封裝。
植入牛身上的nfc晶片
注射器
基于晶片植入的攻擊有着一些明顯的限制,但這些限制并非不能克服。當手機鎖住或重新啟動的時候,控制連接配接就會斷開。但沃爾和索托所使用的安卓惡意軟體,可以在背景悄悄運作,還可以自動啟動。另外,雖然惡意代碼需要手動安裝,但使用一些社工的手段,如使用谷歌商店的合法簽名,甚至是利用系統漏洞強行安裝,均可達到目的。
據稱是晶片植入第一人的英國瑞丁大學的凱文·沃維克教授表示,安全防護常常落後于科技的發展。
“這種植入在機場或類似場所無法檢測出來,晶片使用的金屬含量太小,遠不如一塊手表或一枚戒指,即便是我在2002年植入的一段鉑金屬線也檢測不出來。實際上,我一直都在手臂中植入着金屬線,而我經常坐飛機飛行。”
在下個月的邁阿密黑客大會上,沃爾和索托計劃描述這種晶片植入攻擊的細節,包括如何擷取硬體和在晶片上程式設計。也許,這将是惡意生物黑客攻擊普及化的開始。
這隻是冰山一角,任何人都可以這樣做。”--索托
作者:recco
來源:51cto