尾巴文章
数字生活美文

信息安全频遭挑战,连数位板都「叛变」了

魔術帽与兔子·其它·
  • 20
  • 5

这世上从来就没有密不透风的墙。

数字时代,万物互联。通信技术的发展极大便利了我们的工作和生活,却也埋下了层出不穷的隐患。信息安全这场攻防战,在敌我双方的拉锯之下,似乎永无尽头。

2017 年 5 月,WannaCry 蠕虫病毒在全世界范围内大规模爆发,大量运行 Windows 操作系统的电脑不幸中招。用户存储在电脑上的文件被病毒恶意加密,黑客借此向其勒索赎金,并且由于只能用比特币支付,很多人想花钱消灾都找不到门路。最终, WannaCry 病毒造成全球超过二十万台电脑感染,影响波及教育、医疗、交通、物流乃至政府部门等多个领域,造成严重损失。

▲ WannaCry 的勒索界面(wikipedia)

但实际上,WannaCry 病毒利用的漏洞,微软已在当年 3 月推送的安全补丁中进行了修复,然而大量安装过于老旧的 Windows XP 系统、乃至盗版系统的电脑无法获得安全更新支持,因此惨遭毒手。

这场安全事故至少给我们留下了一个教训:别用盗版软件,也别忘了及时给安全漏洞打上补丁。

不过这种通过网络传播病毒、利用系统或软件漏洞实施攻击的手段实在算不得什么新鲜招数。如果有人告诉你,即便你的电脑不联网,也不和其他设备连接,他们照样能从中窃取数据,你会不会觉得这是痴人说梦?

以色列本 · 古里安大学网络安全研究中心的一项最新研究成果却让「痴人说梦」成了现实。通过安装恶意软件,他们可以让电脑的 LCD 显示器以人眼无法察觉的频率和方式改变亮度,就像摩尔斯电码那样悄无声息地向外传递二进制编码的信息。攻击者只需要把传递信号的显示器拍下来,就能通过图像处理技术从视频中解析信号。拍摄设备似乎也没有特别要求,普通的智能手机或者网络摄像头都可以。

一种可能的情况是,电脑操作员在攻击者的诱骗下安装恶意软件,让电脑显示器变成隐蔽的「信息发送端」;攻击者随后再黑掉房间里的安全监控摄像头,就能神不知鬼不觉地把电脑上的隐私信息采集到手。

当然,不管是诱骗别人安装恶意软件,还是黑掉监控镜头,说起来轻巧,做起来却一点都不容易。再加上毕竟只是研究成果,所以你大可不必担心马上就有人会用这个办法来窥探你的秘密。

可是隐私泄露的风险,有时候偏偏隐藏在你最不在意的地方。软件工程师 Robert Heaton 最近就发现,他的 Wacom 数位板竟然背着他上传了自己所有的软件使用情况。

Robert 说,他是在自己的新电脑上设置数位板的时候发现问题的。当安装驱动时,他被要求同意 Wacom 的隐私政策。

这引起了 Robert 的疑心。一个跟鼠标没两样的输入设备,为什么会有隐私政策?仔细阅读之后,他发现 Wacom 试图收集用户的使用数据,并将其分享给谷歌的网站流量统计服务 Google Analytics。

一不做二不休,Robert 决定彻底弄清楚 Wacom 到底上传了什么数据。通过设置代理服务器的方式,他成功截获了 Wacom 驱动与 Google Analytics 之间的通信,结果发现 Wacom 竟然记录了他打开过的所有应用程序,包括程序的名称、打开的时间、以及一串可能用于标记使用者身份的字符串。

(robertheaton.com)

一块数位板暗中记录、上传如此私密的用户信息,很难不让人质疑 Wacom 的动机。

据 The Verge 报道,事件曝光后,Wacom 曾通过推特向 Robert 作出回应,称收集这些数据是为了「保护电脑安全」。但很显然,这番解释非但没把问题说清楚,反倒还有些文不对题。目前,这条推文已经被删除。

好消息是,Robert 说即使不同意 Wacom 的隐私政策,似乎也不影响数位板的正常使用。还有 Reddit 上的网友表示,在 Wacom Desktop Center 的隐私设置中可以禁用与 Google Analytics 相关的服务。

隐私协议可能是除了数码产品说明书以外,最不受人待见的文本了。但也正是因为很多人都没耐心仔细阅读,猫腻便有了可乘之机。消费者当然有「用脚投票」的权利,但如果你碰巧离不开相关的产品或服务,目前看来最好的办法也只能是自己多留个心眼了。


  • 举报
快给朋友分享吧!
收藏
4人已收藏
评论列表(已有5条评论)
热门评论
最新评论
更多评论
取消评论