如果能忍受一时的疼痛,把数字设备植入到皮肤组织之下,就可以躲过物理扫描和数字扫描,得以成功潜入目标内部。
无线安全工程师塞斯·沃尔,就在左手的虎口处植入了一枚芯片。这枚芯片含有NFC(近场通信)天线,可以向安卓手机发送ping数据包,要求建立连接。一旦手机用户同意开放连接并安装一个恶意文件之后,他们的手机就会被连接到一台远程计算机。该计算机的控制者可以进一步利用这些手机,比如拍照、录音或拨打电话。
塞斯·沃尔远控手机自拍
沃尔准备在5月份的“黑客迈阿密”会议上与安全顾问罗德·索托一起演示这种悄然型攻击技术。沃尔承认,目前只是一个比较原始的研究,使用的是现成的工具和已知的NFC攻击技术。但这种技术将给犯罪分子的“社会工程工具包”中,又增加了一件利器。
体内植入的芯片可以轻而易举避开机场或其他高级安全场所的电子设备的检测。沃尔以前在海军服役的时候,带着体内的芯片每天都会通过门口的扫描设备,但从来没被检测出来。
想要检测出这枚芯片,除非使用X光扫描我的身体。”
随着NFC使用范围的日益广泛,体内植入可以提供一个进入各种网络的途径。而且芯片的编码越复杂,破坏力就越大,尤其利用零日漏洞的代码,后果不堪设想。
此外,植入成本和对人体的影响也很小。沃尔的芯片是一名没有正规资质的地下医师植入的,手术费用40美元。因为当地的法律限制人体改造。芯片则是从一家名为上海励识(FreeVision)的中国电子企业购入,这种芯片原本是出于农业作业的目的,植入到牛的身上。该芯片含有888个内存字节,并用 Schott 8625型号的生物玻璃胶囊封装。
植入牛身上的NFC芯片
注射器
基于芯片植入的攻击有着一些明显的限制,但这些限制并非不能克服。当手机锁住或重新启动的时候,控制连接就会断开。但沃尔和索托所使用的安卓恶意软件,可以在后台悄悄运行,还可以自动启动。另外,虽然恶意代码需要手动安装,但使用一些社工的手段,如使用谷歌商店的合法签名,甚至是利用系统漏洞强行安装,均可达到目的。
据称是芯片植入第一人的英国瑞丁大学的凯文·沃维克教授表示,安全防护常常落后于科技的发展。
“这种植入在机场或类似场所无法检测出来,芯片使用的金属含量太小,远不如一块手表或一枚戒指,即便是我在2002年植入的一段铂金属线也检测不出来。实际上,我一直都在手臂中植入着金属线,而我经常坐飞机飞行。”
在下个月的迈阿密黑客大会上,沃尔和索托计划描述这种芯片植入攻击的细节,包括如何获取硬件和在芯片上编程。也许,这将是恶意生物黑客攻击普及化的开始。
这只是冰山一角,任何人都可以这样做。”--索托
作者:Recco
来源:51CTO