本文由腾讯数码独家发布
最新研究证实,邪恶之人可以将手机内的电池变成秘密监视设备,从手机中窃取机密信息。
科研人员发布报告,解释说智能手机如果安装恶意电池,当你在手机上输入信息,只需要分析电池的功率等级就能获取输入内容。
手机中安装的电池可以监测各个App消耗多少电力,对资源进行管理,延长电池寿命,提升设备敏感度。
如果在手机硬件和Battery Status API软件之间建立一条通信通道,然后对API进行控制,就能远程捕捉敏感信息。
如果想发起类似的攻击,先要将目标手机的正常电池换掉,换成有缺陷的电池。邪恶之人可以拿到设备更换电池,或者将有缺陷的电池卖给销售商,让他们暗中替换。
恶意电池内部装有微型控制器,它可以记录设备向内向外输出的功率流数据。
接下来,邪恶之人会通过有漏洞的浏览器(比如Chrome)进入Battery Status API,将捕获的敏感数据发送到恶意网站。
借助微控制器和Battery Status API获得数据,然后用AI对数据进行分析,将功率流与特定按键匹配,就可以判断用户在键盘上输入了什么字符。
利用这种方法,黑客可以做下面的事:推断你在触摸屏上输出了什么字符;精准还原浏览历史记录;侦测来电;检查照片元数据,比如光照环境数据。
就目前来说,要想发起类似的攻击,Chrome浏览器是唯一的通道,因为Chrome有安全缺陷。Mozilla和Safari浏览器已经撤销对Battery Status API的支持,所以还是安全的。
不过你不用太担心,目前还没有发现类似的攻击出现,通过电池窃取信息只是在理论上能够做到。
通过分析GPU或者DRAM的功率数据,就可以判断你上了什么网站。如果想获得更精密的信息,就要分析CPU及功耗更高的外设,比如触摸屏。
研究人员正在寻找办法,看看能否防御此类攻击。
来源:fossbytes
