黑客利用智能燈泡竊取用戶數據！

研究人員發現，有的燈泡能夠把個人設備中的隱私數據泄漏出來，並且可以通過遠程記錄其亮度模式來泄漏多媒體偏好。

為了使光源成為攻擊面，它們需要滿足一些要求，例如支持多媒體可視化和紅外功能。攻擊者不需要攻擊受害者的內網來提取信息，只需要在目標設備和燈之間建立直接的連接，並在滲透過程中密切關注燈泡即可。

推斷受害者的音樂和視頻品味

Anindya Maiti 和 Murtuza Jadliwala 來自德克薩斯大學聖安東尼奧分校，他們對 LIFX 和飛利浦的 Hue 智能燈泡進行了研究，參透了它們接收命令從而呈現不同視覺效果的方式，並開發了一個模型用來解釋智能燈泡根據音樂和視頻調節亮度和色彩的機制。

在音頻可視化中，燈泡的亮度級別和源聲音息息相關；而在視頻可視化中，燈泡的調節尺度直接反映了當前視頻幀中的主要顏色和亮度級別。配套的移動應用程序可以向燈泡發送特殊格式的數據包來控制其閃爍。

這兩位研究人員創建的模型要求攻擊者創建光照模式資料庫，比如歌曲和視頻字典，它們可以用作從目標設備捕獲的配置文件的參考。

電影幀以及對應的 LIFX 燈泡效果

個人設備的數據泄露

從個人設備中提取信息需要滿足一些特定條件，對光照模式的簡單觀察並不足以竊取數據。

想要竊取數據，首先燈泡需要支持紅外，並且支持本地網路無授權控制。此外，攻擊者還需要在目標設備中植入惡意軟體，編碼私人數據並將其發送到智能燈泡。

室內和室外觀察點

研究人員使用兩個觀察點來捕獲數據：室內和室外。可以想像，室內觀察點記錄的結果更為準確，更長的監視時間產生更好的結果。

從100個樣本集中我們發現，51首歌曲被正確預測在最高級別，而82首歌曲的類型在同一預測中是正確的，研究人員揭示了音頻推斷結果。

通過諸如振幅或波長移位鍵控的傳輸技術可以造成數據泄漏，此外，使用智能燈泡（LIFX）的可見光和紅外光譜同樣有用。

為了測試紅外數據泄漏方法，研究人員選擇對原始圖像進行編碼，並在最遠50米的不同距離處對其進行解碼。在5米處提取的圖像是很容易辨別的，而隨著數據捕獲距離的增加，其可視化程度逐漸降低。然而，即使在遠至50米的距離，人們依然可以分辨出圖像信息。

數據泄露結果

兩位研究人員所做的工作是實驗性的，但它表明使用紅外光可以從相對較遠的距離竊取有用的信息。

為了防禦這些攻擊方法，我們可以讓光線對外界不那麼明顯。窗帘就可以做到這一點。此外，選擇透光率低的窗戶玻璃也是一項有效的防禦手段。

有關更多的技術細節，你可以閱讀名為「智能燈光信息泄露」的論文（http://arxiv.org/pdf/1808.07814.pdf）。

原文：https://www.bleepingcomputer.com/news/security/novel-attack-technique-uses-smart-light-bulbs-to-steal-data/

作者簡介：Ionut Ilascu 是一名自由職業者，同時是一名專註於網路安全的技術作家。他撰寫的主題包括惡意軟體、漏洞、漏洞利用和安全防禦，以及信息安全方面的研究和創新。他的作品曾出版在 Bitdefender、Netgear、The Security Ledger 和 Softpedia。

譯者：安翔，責編：郭芮

微信改版了，

想快速看到CSDN的熱乎文章，

趕快把CSDN公眾號設為星標吧，

打開公眾號，點擊「設為星標」就可以啦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！