但以色列的研究人已經(jīng)開(kāi)發(fā)了一種新方法，可以從配備了上述所有防護(hù)手段的設(shè)備中竊取機(jī)密。該方法中只需要GSM網(wǎng)絡(luò)、電磁波和一部具備基本功能的低端非智能機(jī)。尤瓦爾•伊洛維奇（Yuval Elovici）是位于以色列內(nèi)蓋夫沙漠的本古里安大學(xué)網(wǎng)絡(luò)安全研究中心主管，他表示，這是物理隔離系統(tǒng)入侵領(lǐng)域的一次突破，安全防務(wù)公司和其它安全主體應(yīng)當(dāng)提起注意，盡快更新自家的安全手冊(cè)，禁止員工和訪客攜帶能夠接收射頻信號(hào)的設(shè)備。

 

要實(shí)現(xiàn)這種攻擊，需要首先在目標(biāo)電腦和用到的手機(jī)上都安裝惡意軟件，在此之后則不需要額外操作，利用兩邊設(shè)備的自帶功能即可完成攻擊。從原理上來(lái)看，計(jì)算機(jī)在正常運(yùn)行時(shí)會(huì)同時(shí)發(fā)出電磁輻射，而手機(jī)從本質(zhì)上來(lái)講是對(duì)這類(lèi)信號(hào)“敏感的接收器”。將兩邊的因素結(jié)合在一起，不難理解黑客們會(huì)想要通過(guò)這種隱蔽信道來(lái)竊取數(shù)據(jù)。

 

這項(xiàng)研究建立在去年成果的基礎(chǔ)上。去年，本古里安大學(xué)的研究小組研究了通過(guò)智能手機(jī)從物理隔離設(shè)備上竊取數(shù)據(jù)的方法。但去年的研究?jī)?nèi)容是通過(guò)智能手機(jī)上的FM無(wú)線電功能來(lái)拾取電腦顯卡發(fā)出的無(wú)線電波，和今年略有不同。

 

今年，研究人員采取了另外一種方式傳輸數(shù)據(jù)，只需要非智能機(jī)即可實(shí)現(xiàn)。利用這種方法，可以滲透進(jìn)那些限制智能手機(jī)進(jìn)入的環(huán)境：由于非智能機(jī)只具有通話和短信功能，人們不認(rèn)為它們能夠成為間諜的監(jiān)聽(tīng)設(shè)備。非智能機(jī)往往被允許帶入一些敏感環(huán)境，而智能手機(jī)則不行。一份公司生產(chǎn)部門(mén)行動(dòng)白皮書(shū)顯示，英特爾生產(chǎn)部門(mén)的員工只能使用“公司配備的、只帶有通話和短信功能的手機(jī)”，這些手機(jī)沒(méi)有攝像頭、視頻播放以及WiFi功能。但以色列的這項(xiàng)最新研究表明，即使是英特爾公司使用的那些只具有基本功能的手機(jī)，也可能成為公司的威脅。

 

研究人員的論文中提到，“不像領(lǐng)域內(nèi)最近發(fā)表的一些其它成果，這種入侵方式中所使用到的設(shè)備的確是現(xiàn)實(shí)環(huán)境中正在使用的：電腦/服務(wù)器、非智能機(jī)”。

 

盡管這種攻擊只能提取一小部分?jǐn)?shù)據(jù)，傳輸距離也很短，也足以在一兩分鐘內(nèi)拿到密碼甚至加密密鑰了，具體耗時(shí)取決于密碼的長(zhǎng)度。但攻擊者實(shí)際上不需要電話也能提取數(shù)據(jù)。研究者們發(fā)現(xiàn)，他們也可以通過(guò)一個(gè)安裝在30米外的專(zhuān)用接收器來(lái)高效竊取數(shù)據(jù)。這意味著任何配備適當(dāng)工具的攻擊者都可以從停車(chē)場(chǎng)或其它建筑內(nèi)以無(wú)線方式隔著墻壁拿到數(shù)據(jù)。

 

禁止所有類(lèi)型的手機(jī)進(jìn)入敏感區(qū)域，可以避免第一種攻擊，然而要防御30米外的接收器就需要?jiǎng)有┬乃剂耍究梢赃x擇在墻內(nèi)安裝隔離層，或者讓敏感區(qū)域與墻壁之間隔開(kāi)一定的距離。

 

研究團(tuán)隊(duì)包括如下成員：首席研究員莫迪凱·古里（Mordechai Guri），其他貢獻(xiàn)者有阿薩夫·卡切隆（Assaf Kachlon）、奧弗·哈桑（Ofer Hasson）、加比·凱德瑪（Gabi Kedma）、意第緒·米爾斯基（Yisroel Mirsky）和艾洛維斯（Elovici）。莫迪凱·古里會(huì)在下個(gè)月華盛頓特區(qū)舉行的UNIX協(xié)會(huì)安全專(zhuān)題討論會(huì)（Usenix Security Symposium）上發(fā)表他們的研究結(jié)果。他們的研究論文已經(jīng)在UNIX用戶(hù)協(xié)會(huì)網(wǎng)站上發(fā)布，不過(guò)目前只有網(wǎng)站會(huì)員才能訪問(wèn)。網(wǎng)上也已經(jīng)出現(xiàn)了一段演示視頻。

 

通過(guò)電磁輻射（EMR，Electromagnetic Emissions）泄露來(lái)竊取數(shù)據(jù)并不是什么新鮮事。1972年NSA發(fā)布的一篇文章將這種其稱(chēng)為T(mén)EMPEST攻擊，并詳細(xì)論述了其情況。大約15年前，也有兩位研究人員撰文指出，可以通過(guò)執(zhí)行特定的指令或安裝特定程序，控制臺(tái)式計(jì)算機(jī)泄露的電磁輻射。

 

基于前人的研究，這組以色列的研究人員開(kāi)發(fā)出了被稱(chēng)為GSMem的惡意軟件。該軟件會(huì)強(qiáng)制計(jì)算機(jī)的內(nèi)存總線成為天線，通過(guò)蜂窩頻率將數(shù)據(jù)無(wú)線傳輸?shù)绞謾C(jī)上。GSMem的足跡很小，運(yùn)行時(shí)在內(nèi)存中只占用4kb，使得它非常難以檢測(cè)。該軟件中嵌入了一系列簡(jiǎn)單的CPU指令，并不需要和系統(tǒng)API交互，這使得它能夠躲過(guò)那些監(jiān)視惡意API調(diào)用的安全掃描器。

 

研究者們同時(shí)開(kāi)發(fā)了一個(gè)被稱(chēng)為ReceiverHandler的Rootkit，它會(huì)被嵌入在手機(jī)的固件基帶中。通過(guò)物理接觸或者阻斷技術(shù)（Interdiction Methods，從目標(biāo)公司的采購(gòu)供應(yīng)鏈中下手，提前植入惡意軟件），可以將GSMem惡意軟件安裝在目標(biāo)計(jì)算機(jī)上。Rootkit可以通過(guò)社會(huì)工程攻擊、惡意App或者直接物理接觸目標(biāo)電話來(lái)安裝。

 

真實(shí)原理

 

當(dāng)電腦上的數(shù)據(jù)在CPU和內(nèi)存之間傳輸時(shí)，不可避免地會(huì)有無(wú)線電波泄露。通常而言，這些無(wú)線電波的強(qiáng)度還不足以將信息傳輸給手機(jī)，但研究者們發(fā)現(xiàn)，計(jì)算機(jī)上的多通道內(nèi)存總線可以生成持續(xù)的數(shù)據(jù)流，提升并激勵(lì)原信號(hào)，向接收器傳輸二進(jìn)制信息。

 

多通道內(nèi)存配置可以讓數(shù)據(jù)同時(shí)通過(guò)兩到四條數(shù)據(jù)通道進(jìn)行傳輸。當(dāng)所有這些通道同時(shí)投入使用時(shí)，數(shù)據(jù)交換的無(wú)線電波可以增強(qiáng)0.1到0.15dB。

 

GSMem會(huì)利用這個(gè)過(guò)程，使所有數(shù)據(jù)同時(shí)通過(guò)所有通道，以產(chǎn)生足夠的信號(hào)強(qiáng)度。但這種信號(hào)加強(qiáng)只對(duì)傳輸二進(jìn)制1時(shí)起效，對(duì)于二進(jìn)制0，GSMem會(huì)允許計(jì)算機(jī)以正常的信號(hào)強(qiáng)度進(jìn)行傳輸。信號(hào)中的強(qiáng)度波動(dòng)可以讓手機(jī)上的接收器分辨出被傳輸?shù)木烤故?還是1。

 

二進(jìn)制0即是電腦以正常強(qiáng)度發(fā)送電磁波的狀態(tài)，信號(hào)強(qiáng)度明顯高出正常狀態(tài)的則代表二進(jìn)制1。

 

接收器會(huì)識(shí)別傳輸?shù)男盘?hào)，并將其轉(zhuǎn)換成二進(jìn)制0和1，最終轉(zhuǎn)換成人類(lèi)可讀的數(shù)據(jù)，比如密碼或加密密鑰。接收器會(huì)存儲(chǔ)收到的數(shù)據(jù)，之后將它們通過(guò)蜂窩數(shù)據(jù)、短信或WiFi方式發(fā)送出去。

 

接收器知道消息將在何時(shí)被發(fā)送，因?yàn)閭鬏敱环纸獬闪诵蛄袛?shù)據(jù)中的幀，每幀由12個(gè)比特構(gòu)成，包括報(bào)頭的序列“1010”。當(dāng)接收器收到報(bào)頭時(shí)，它就會(huì)開(kāi)始注意被發(fā)送消息中的振幅，并作出一些調(diào)整，和目標(biāo)信號(hào)強(qiáng)度同步，然后繼續(xù)將泄出的數(shù)據(jù)轉(zhuǎn)化成二進(jìn)制形式。研究人員表示，研究中最困難的部分就是設(shè)計(jì)解碼蜂窩數(shù)據(jù)信號(hào)的部分。

 

在測(cè)試中，研究人員使用了一臺(tái)九年機(jī)齡的摩托羅拉C123，搭載德州儀器公司制造的卡里普索（Calypso）基帶芯片。這臺(tái)手機(jī)支持2G網(wǎng)絡(luò)通訊，但沒(méi)有GPRS、WiFi和蜂窩網(wǎng)絡(luò)功能。研究人員每秒都能向這臺(tái)手機(jī)傳輸1到2個(gè)比特，這已經(jīng)足夠從工作站上竊取256位密鑰了。

 

他們?cè)谌_(tái)工作站上進(jìn)行了測(cè)試，目標(biāo)操作系統(tǒng)分別是微軟Windows、Linux和Ubuntu。為了模擬實(shí)際環(huán)境中可能存在大量電磁噪音的環(huán)境，實(shí)驗(yàn)都是在周邊有運(yùn)行著的電腦的狀態(tài)下進(jìn)行的，而接收器必須盡力找到需要解碼的信號(hào)。

 

盡管研究人員測(cè)試的目標(biāo)是驗(yàn)證非智能機(jī)是否也能被用來(lái)竊取數(shù)據(jù)，但使用智能手機(jī)預(yù)計(jì)將獲得更好的結(jié)果，因?yàn)橹悄苁謾C(jī)接收無(wú)線電信號(hào)的能力更強(qiáng)。研究人員準(zhǔn)備在未來(lái)的研究中測(cè)試使用智能手機(jī)時(shí)的效果。

 

不過(guò)根據(jù)測(cè)試結(jié)果，特制接收器的表現(xiàn)比智能手機(jī)還要好。通過(guò)30米外的接收器，研究人員能夠?qū)崿F(xiàn)每秒100至1000比特的傳輸速率。他們使用了GNU-Radio軟件，這是一個(gè)軟件定義的無(wú)線電套件，還用到了一臺(tái)Ettus Research公司制造的通用軟件無(wú)線電外圍設(shè)備，型號(hào)B210。

 

盡管這些攻擊能竊取的數(shù)據(jù)總量很有限，但僅僅是少量比特的數(shù)據(jù)也可以產(chǎn)生很大作用。除了竊取密碼之外，攻擊者可以使用這種方式偷到敏感設(shè)備的GPS坐標(biāo)，并確定它的位置。舉例而言，攻擊目標(biāo)可能是隱蔽核設(shè)施中的電腦。另外，也可以盜取用于加密通訊的RSA私鑰。

 

本古里安大學(xué)網(wǎng)絡(luò)安全研究中心的CTO杜杜·曼朗（Dudu Mimran）表示，“在這種場(chǎng)景里，你不會(huì)泄露巨量的數(shù)據(jù)，但當(dāng)今，保護(hù)敏感數(shù)據(jù)的密鑰通常體積并不大。因此如果你獲得了RSA私鑰，就可以突破很多防御。”