排球

DIY窃听系统令移动设备安全漏洞百出

2019-08-15 17:28:54来源:励志吧0次阅读

  来自威斯康星大学法律系的学生兼研究员Brendan O Connor警告称,现在移动设备用户无需获得美国国家安全局的同意,即可利用由廉价传感器及后端分析组件组成的系统来完成设备窃听。

  Brendan O Connor仅利用一个由和分析算法组成的系统 Creepy DOL,即可跟踪他本人在城市范围内的行动轨迹,以及收集移动应用经常(未经加密或采用任何保护措施)传输的信息数据。例如苹果的iPhone一般会发送有关其操作系统版本、MAC地址及其他有助于辨认设备及其用户的信息。O Connor警告大众,人们经常会在无意中泄露很多信息;例如购物、约会等场景下可能会通过公共WiFi泄露设备的操作系统版本、应用版本甚至是GPS坐标。他表示: 在未经加密的情况下发送此类数据会给有心之人可乘之机。

  Creepy DOL系统内包含的传感器可粘附到墙壁上、抛掷到屋顶上,或甚至通过无线电操控的飞机进行投掷。由于可实现空投,O Connor将其称为F-Bomb传感器;这种只比扑克牌大一点的黑匣子可监控本地WiFi通讯中未经加密的数据,从而从移动设备中收集相关用户的信息。

  每个F-Bomb传感器的所有组件成本加起来只需57美元,并且这些组件随处都可买到。

  这些传感器将连接本地的公共WiFi络,通过自动点击 接受 按钮来接受任何授权协议;然后传感器将连接至Tor络,以便对其流量进行匿名化并将收集到的信息传回接收装置。每个传感器还会执行本地处理,以将捕获的海量数据包处理成具体的信息,例如目标物的身份、所处位置以及当前正使用的应用。

  收集到的数据随后通过开放的络传回两个数据库,在那里完成快速的查询和分析。

  为进一步简化Creepy DOL系统的使用,O Connor使用Unity游戏引擎构建了一个可视化程序,该程序可将来自移动设备的报告绘制在本地地图上,允许窃听者轻松跟踪目标物的行动轨迹。

  虽然这一系统可以收集到许多移动设备用户的更多有趣的实际信息,但O Connor不会使用它来窃听他人的通讯行为,因为Andrew Auernheimer(以 Weev 而闻名于互联)已因类似行为而遭美国政府起诉并被判以41个月的刑期(虽然他本人仍在上诉中)。

  O Connor呼吁对安全研究工作实施更完备的保护措施,如若不然,这些研究将很容易脱离研究人员的控制。

  译者/Viki

2016年佛山B2B/企业服务企业
2013年杭州智慧物流企业
2010年宁波房产种子轮企业
分享到: