以往我们认为黑客攻击手机,只能通过软件的方式进行,只要我们注意不要下载不明来源的应用,就能避免这样的攻击。
然而,研究人员开发了一款概念验证攻击装置,该装置可以向触摸屏发送电磁脉冲,模拟手指的点击。
研究人员用iPad做了演示,在点击一个iPad的时候,另一台iPad也收到了同样的指令。
这种攻击手段在技术上被称为“有意电磁干扰(Intentional Electromagnetic Interference,IEMI)攻击”,可以看到,这种攻击很难抵挡,毕竟最难搞得就是物理开挂。
无视设备系统,只要是触摸屏就可以攻击
这项研究在5月的IEEE安全和隐私研讨会上被提出,并且相关论文也被IEEE收录。
论文名称:
Invisible Finger: Practical Electromagnetic Interference Attack on Touchscreen-based Electronic Devices
论文链接:
https://ieeexplore.ieee.org/abstract/document/9833718
作者基本都是佛罗里达大学的华裔学生和教授。
研究人员在论文中介绍,基于触摸屏的电子设备,如智能手机和智能平板电脑,在我们的日常生活中被广泛使用,虽然最近对电子设备的安全性进行了大量的调查,但是触摸屏对各种攻击的反应还有待于进行彻底的调查。
在这项研究中,研究人员首次展示了一种基于触摸屏的电子设备易受有意电磁干扰(IEMI)攻击的方式,以及如何以实用的方式进行这种攻击。
不仅如此,研究人员还分析并量化了允许新型IEMI攻击触摸屏的潜在机制,以及如何计算最小量的电场和信号频率所需的诱导触摸屏被远程点击。
由于这种攻击直接作用于触摸屏电路,所以可以无视被攻击设备的触摸屏扫描机制或操作系统,也就是说,无论你是手机,平板还是带触屏供能的电视,这种攻击都可以实现。
并且这不仅是一个概念,研究人员也开发出了第一个原型设备,展示并演示了第一个基于IEMI的触摸屏攻击向量和端到端攻击场景。
普通人暂时还没必要担心这样的攻击
参与这项研究的佛罗里达大学(University of Florida)电子学教授Shuo Wang表示,这种攻击之所以可能发生,是因为大多数现代触摸屏的工作原理是使用放置在屏幕下方的电极来检测手指接触屏幕时释放的微小电荷。
这样看来,远程制造“简单虚假触摸”的操作还相对容易,难点在于弄清楚如何将虚假触摸发送到攻击者想要点击的屏幕上的确切位置。
论文一作Shan Haoqi表示,为了做到这一点,他和他的同事们必须进行数学计算,并分析来自 iPhone、 iPad 和Android手机等流行设备的不同触摸屏的感应机制。
那普通人需要担心这样的技术会成为黑客的新攻击手段,被不法分子应用吗?
这样的担心目前确实没有必要。这种攻击现在有一些关键的局限性,首先,黑客需要知道目标的手机密码,或者在手机解锁时发动攻击;其次,受害者需要手机正面朝向攻击设施,否则电池和主板会阻断电磁信号;第三,天线阵列和被攻击的手机必须不超过一定的距离。
Shan Haoqi表示,
“普通人,他们真的不需要太担心这种类型的攻击。”