“开启一个装在电话上的网络摄像机或者让电话LED灯不亮的情况下把话筒打开,被监听对象不会察觉他们的电话已经被入侵。”
哥伦比亚大学研究人员发现,在美国办公普遍使用的高科技电话可以被黑客入侵成为监听设施。黑客向NBC展示了如何通过电话麦克风监听世界任何一个角落的对话,他们表示,只要有网络就行。
在一项美国国防部资助项目中发现这一漏洞的博士生AngCui和哥伦比亚大学教授SalStolfo表示,他们可以远程控制一个被黑的电话,实现任何他们想做的事情,并可以通过软件隐藏痕迹。
“你们可以想象这意味着什么,”Stolfo提到这个漏洞时表示。“任何关上门说的话都不再私密,不管是多敏感的话题。毫无隐私可言,你们这样怎么开展业务?”
思科的IP电话软件也未能幸免,思科在一份提交给NBC的声明中承认了这个漏洞,但没有说明有多少电话受到了影响。在早些时候的一条博客中提到,这家领先占领三分之一市场的IP电话制造商销售业绩刚刚超过了五千万美金。在十二月发布给付费客户的漏洞报告中,思科列出了15款存在漏洞机型。
思科的声明表示公司正在补救,公司告诉NBC它们正在计划在下周发布安全公告。但是Stolfo表示他“对思科处理的速度非常担忧”。
在12月29日德国举行的通讯大会的电话黑客展示中,Cui列举了思科的电话在政府及部队的应用,尽管他表示还不知道这些电话是否易受攻击。
“悲观点讲,这些‘木马’被卖到了全球各地。”Stolfo表示:“这是一个绝佳的机会,创造一个低价的、部署完整的监视系统。你把这些当做情报站的话,这些就是免费的监视设施。”
此项研究由美国国防部分支国防高级研究计划局资助(DARPA),该组织致力于计算机安全,由哥伦比亚大学工程及应用科学学院计算机科学系进行研究。该研究组织已曾在2011年发布惠普打印机黑客文章而引发全球紧张。
“我们认为这比打印机入侵危险很多,因为我们能用电话做的事情更多。”Stolfo表示。
在上周NBC的一份声明中,Cui演示了一个小小的装有软件的设备接入思科的电话后如何在短短几秒种内改写思科IP电话的程序。在他描述的这个场景下,一个黑客只需一会儿就能侵入一台电话,比如,通过一部在秘书桌上的电话来进行攻击。
哥伦比亚实验室专注于的“嵌入式设备”——在非个人电脑小工具中的计算机芯片,如电视、恒温器或电话。目前,这些小玩意渐渐都变成互联的并连接到互联网,因此可以被黑客远程入侵。
“这些手机真的就是把通用计算机塞进一个塑料外壳,让你觉得这是一个电话,”Cui说。“不能因为它没有键盘就觉得它不如一台电脑。”
思科的IP电话——以及其他使用相同芯片的设备——极易受到攻击,因为根据崔所说,他们经常连接到一台中央服务器来寻找更新的说明。这就创造了一个黑客插入恶意代码的途径,他说。
手机上运行着一款专为流行的Unix操作系统设计的改写版本——CNU,但任何熟悉Unix的程序员都可以为电话编写代码,并让它执行任何功能,Cui说。
“手机正等待着网络上给它下命令。它们积极的说,‘有没有人让我运行个代码?’”Stofo说。
在NBC新闻最初的声明中,思科公司表示,所有的思科IP电话“当话筒处于激活状态时会提醒用户,”这意味着它会提醒用户自己手机的麦克风已经打开。但哥伦比亚大学的研究人员对此感到怀疑,并向NBC新闻展示了一台被入侵的电话:他们的对话已被窃听,但没有证据表明麦克风已被激活。
