把恶意程序存储到DNA上？黑客们的又一新发现

在今年三月，有研究人员已经成功地将数字信息存储到DNA之上，其中包括一个完整的操作系统、一部电影、一张亚马逊礼品卡、一份研究报告甚至是一个计算机病毒。

事实上，如果有人将恶意程序存储到DNA中，它真的就会像一个受感染的USB存储设备一样，去劫持甚至读取你的电脑内容。

最近来自西雅图华盛顿大学的一组研究人员则演示了首个基于DNA的exp，他们将恶意代码写到了合成DNA螺旋之上。

为了达到这个目标，研究人员首先构建了“生物恶意程序”，然后将其编码到一小段DNA之上，当DNA测序仪读取数据的时候，恶意代码就能彻底控制处理这段基因数据的计算机。

DNA处理软件本身就存在很多不安全因素，其中包含不安全的函数调用、缓冲区溢出等。

“我们分析了13个常用的开放源代码程序的安全性，他们都是采用C / C ++编写的程序，”该研究论文题目为“"Computer Security, Privacy, and DNA Sequencing: Compromising Computers with Synthesized DNA, Privacy Leaks, and More."全文在这里

研究人员发现现有的生物分析程序存在很多不安全的C语言库函数调用，也就是说DNA处理软件并未采用现代主流的软件安全实践。

为了创建生物恶意软件，研究人员将简单的计算机程序翻译成短的176个DNA字母，分别表示为A，G，C和T，每个代表一个二进制对（A = 00，C = 01，G = 10 ，T = 11）。

而系统漏洞则利用了基本的缓冲区溢出并发起攻击，这其中有一个软件程序负责执行恶意命令，因为它超出了最大长度。实际上，这个恶意命令连接到了该团队所控制的服务器，所以，研究人员也在实验室控制了一台计算机，用于分析该DNA文件。

研究人员说：“我们的漏洞没有针对生物学家在现场使用的程序，而是通过修改来使得其包含一个已知的漏洞，进而进行研究。”

也许这种漏洞很快就不会对我们再造成任何威胁了，但还需要注意的是，黑客将来可能会使用我们无意间泄露的DNA样本来获取电脑密码，并窃取信息，甚至可因此能攻击法医实验室，医院和医院安装的DNA数据存储中心医疗设备。

在下周的Usenix安全研究会议上，研究人员将首谈“计算机系统中基于DNA 的exp”，深入解释这种攻击方式，有兴趣的可以阅读到时发布的研究报告。