信息安全頻遭挑戰,連數位板都「叛變」了

這世上從來就沒有密不透風的牆。

數字時代,萬物互聯。通信技術的發展極大便利了我們的工作和生活,卻也埋下了層出不窮的隱患。信息安全這場攻防戰,在敵我雙方的拉鋸之下,似乎永無盡頭。

2017 年 5 月,WannaCry 蠕蟲病毒在全世界範圍內大規模爆發,大量運行 Windows 操作系統的電腦不幸中招。用戶存儲在電腦上的文件被病毒惡意加密,黑客藉此向其勒索贖金,並且由於只能用比特幣支付,很多人想花錢消災都找不到門路。最終, WannaCry 病毒造成全球超過二十萬台電腦感染,影響波及教育、醫療、交通、物流乃至政府部門等多個領域,造成嚴重損失。

▲ WannaCry 的勒索界面(wikipedia)

但實際上,WannaCry 病毒利用的漏洞,微軟已在當年 3 月推送的安全補丁中進行了修復,然而大量安裝過於老舊的 Windows XP 系統、乃至盜版系統的電腦無法獲得安全更新支持,因此慘遭毒手。

這場安全事故至少給我們留下了一個教訓:別用盜版軟件,也別忘了及時給安全漏洞打上補丁。

不過這種通過網絡傳播病毒、利用系統或軟件漏洞實施攻擊的手段實在算不得什麼新鮮招數。如果有人告訴你,即便你的電腦不聯網,也不和其他設備連接,他們照樣能從中竊取數據,你會不會覺得這是痴人說夢?

以色列本 · 古里安大學網絡安全研究中心的一項最新研究成果卻讓「痴人說夢」成了現實。通過安裝惡意軟件,他們可以讓電腦的 LCD 顯示器以人眼無法察覺的頻率和方式改變亮度,就像摩爾斯電碼那樣悄無聲息地向外傳遞二進制編碼的信息。攻擊者只需要把傳遞信號的顯示器拍下來,就能通過圖像處理技術從視頻中解析信號。拍攝設備似乎也沒有特別要求,普通的智能手機或者網絡攝像頭都可以。

一種可能的情況是,電腦操作員在攻擊者的誘騙下安裝惡意軟件,讓電腦顯示器變成隱蔽的「信息發送端」;攻擊者隨後再黑掉房間里的安全監控攝像頭,就能神不知鬼不覺地把電腦上的隱私信息採集到手。

當然,不管是誘騙別人安裝惡意軟件,還是黑掉監控鏡頭,說起來輕巧,做起來卻一點都不容易。再加上畢竟只是研究成果,所以你大可不必擔心馬上就有人會用這個辦法來窺探你的秘密。

可是隱私泄露的風險,有時候偏偏隱藏在你最不在意的地方。軟件工程師 Robert Heaton 最近就發現,他的 Wacom 數位板竟然背着他上傳了自己所有的軟件使用情況。

(theverge.com)

Robert 說,他是在自己的新電腦上設置數位板的時候發現問題的。當安裝驅動時,他被要求同意 Wacom 的隱私政策。

這引起了 Robert 的疑心。一個跟鼠標沒兩樣的輸入設備,為什麼會有隱私政策?仔細閱讀之後,他發現 Wacom 試圖收集用戶的使用數據,並將其分享給谷歌的網站流量統計服務 Google Analytics。

一不做二不休,Robert 決定徹底弄清楚 Wacom 到底上傳了什麼數據。通過設置代理服務器的方式,他成功截獲了 Wacom 驅動與 Google Analytics 之間的通信,結果發現 Wacom 竟然記錄了他打開過的所有應用程序,包括程序的名稱、打開的時間、以及一串可能用於標記使用者身份的字符串。

(robertheaton.com)

一塊數位板暗中記錄、上傳如此私密的用戶信息,很難不讓人質疑 Wacom 的動機。

據 The Verge 報道,事件曝光后,Wacom 曾通過推特向 Robert 作出回應,稱收集這些數據是為了「保護電腦安全」。但很顯然,這番解釋非但沒把問題說清楚,反倒還有些文不對題。目前,這條推文已經被刪除。

好消息是,Robert 說即使不同意 Wacom 的隱私政策,似乎也不影響數位板的正常使用。還有 Reddit 上的網友表示,在 Wacom Desktop Center 的隱私設置中可以禁用與 Google Analytics 相關的服務。

隱私協議可能是除了數碼產品說明書以外,最不受人待見的文本了。但也正是因為很多人都沒耐心仔細閱讀,貓膩便有了可乘之機。消費者當然有「用腳投票」的權利,但如果你碰巧離不開相關的產品或服務,目前看來最好的辦法也只能是自己多留個心眼了。



想在手機閱讀更多中國內地資訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems