你家的在线小工具可能被超声波攻击

时间:2018-01-23 09:02:18166网络整理admin

作者:Sally Adee pixdeluxe / Getty这可能发生在你身上你在一天早上在网上闲聊一双鞋子,在本周余下的时间里,这些鞋子会在你的互联网上跟踪你,出现在你访问的网站上的广告中但是,如果这些广告可以从您的浏览器弹出并在不同的设备上捕获你,该怎么办伦敦大学学院的Vasilios Mavroudis表示,这是超声波技术的强大之处 - 它为黑客攻击和隐私入侵提供了一种全新的方式他和他的同事将在下周的伦敦黑帽网络安全会议上阐述他们的担忧到目前为止,这种超声技术主要用于营销人员和广告商识别和跟踪暴露于他们的消息的人,如跨设备cookie高频音频“信标”嵌入到电视广告或浏览器广告中人耳听不到的这些声音可以被附近具有麦克风的设备拾取,然后可以激活该设备上的某些功能但该技术有更多应用一些购物奖励应用程序,例如Shopkick,已经使用它来让零售商在购物时将部门或过道特定的广告和促销推送到客户的手机上 “它不需要任何特殊技术,”Mavroudis说 “如果你是一家超级市场,你需要的只是常规发言人”但该技术已被确定为隐私风险今年3月,美国联邦贸易委员会(FTC)敲响了12名使用超声波进行跨设备跟踪的应用程序开发人员的指关节 - 即使应用程序未开启这意味着应用程序可以在不知情的情况下收集有关用户的信息快速提供此代码的软件开发人员撤回了它,但FTC发言人表示委员会仍然对跨设备跟踪感兴趣:“我们将继续关注可以实现的方式”这只是其中之一Mavroudis和他的同事在研究基于超声技术的脆弱性时发现了这些问题一个担心是这些程序可能不仅仅是超声波 “任何想要使用超声波的应用都需要使用全系列的麦克风,”Mavroudis说这意味着,从理论上讲,应用程序可以窥探您的对话这些应用程序拾取的超声波音频信标也可以被模仿这意味着黑客可能会创建虚假信标,向您的设备发送不需要的或恶意的邮件,例如恶意软件 Mavroudis和他的团队意识到,当他们发现人们试图通过记录“沉默”信标(或者只是从互联网上下载录音)来欺骗购物奖励应用程序,然后将其播放到应用程序以增强他们的奖励时,这是可能的点 “那时我们才意识到欺骗这些是多么容易,”他说 Mavroudis表示,这些漏洞还不会影响很多人,因为超声波应用仍然是利基市场但是,超声波的简单性使其成为一种极具吸引力的技术,可用于物联网(IoT)的应用,英国北安普顿大学的讲师Mu Mu说随着越来越多的物联网设备连接和互连,它们可能会压倒家庭的Wi-Fi信道,并且需要介入不同的技术超声波是配对带有扬声器和麦克风的家庭连接设备的理想选择例如,Google的Chromecast应用程序使用超声波将您的手机与其流式加密狗配对这为黑客攻击创造了一个潜在的新渠道 Mu说,超声波不能携带大量数据 “但是如果你知道自己在做什么,只需发送几个字节,你就可以破解一个系统,并指示它做很多事情并不总是需要大量的数据才能让事情变得糟糕“在超声波成为主流之前,Mavroudis说现在是时候研究如何调节它并防止它被恶意劫持 “超声波信标还没有规格,”他说 “没有关于如何构建或连接超声波信标的规则这是一个灰色地带,没有人愿意承担责任“他和他的合作者正在鼓动类似于蓝牙存在的标准但这需要一段时间,所以他们也制定了可以在此期间使用的对策第一个是谷歌浏览器的超声波过滤浏览器扩展,可阻止任何网站嵌入式信标发声第二个是针对Android设备的补丁,这意味着当用户允许应用程序使用麦克风时,用户必须单独选择接收超声信标和可听声音 “除非我们修复它,否则会变得更糟,”Mavroudis说更多关于这些主题: