但Cui说道,“一切都被软件所控制”,在查看Cui在德国的演示后,思科在NBC新闻发布了更新的声明,不愿提及关于LED灯的问题上的意见分歧,只是说那“并不直接相关”。
然而,研究人员和思科仍然对潜在的攻击方法持不同意见。
思科公司说,除极少数例外情况,黑客通常需要物理访问一个电话以便开始攻击。
“(远程攻击需要)身份验证的远程访问和非默认设备设置相结合,”思科说。“不存在为远程身份验证准备的默认帐户,且配置远程访问的设备必须使用管理员配置的证书。”
然而,Stolfo说,黑客仅需要物理访问网络上的一台电话——比如一个接待员的,一台家中的或一名远程工作人员的电话——就能接入公司的整个电话网络。
但他也坚持仍有许多脚本允许远程攻击。
升级将是一个办法:一个外部的人可以欺骗工作人员去点击一个带有病毒的电子邮件附件,从而感染该工作人员的计算机,然后使用该计算机从公司的内部网络攻击手机,他说。但研究人员说,仍存在其他缺陷使手机可以直接遭到来自公司外部的攻击。
“它还能用另一种手段实现,”崔补充道。“你可以攻击网络,再攻击一个人的电话。说CEO在家。”
DARPA的官员表示,他们不能对具体的研究作出评论,但普遍赞扬了哥伦比亚大学的工作。
“DARPA的项目与探索当前的系统存在什么样的漏洞有关,使我们能够确定构建原则,从而排除在未来的系统中出现类似的漏洞,”DARPA项目经理HowardShrobe博士在一份声明中说。“电脑在许多设备中往往位于核心位置,而并不只是大多数人认为的电脑(如电话、打印机、电表、汽车和飞机等),但它们也继承了嵌入式计算机组件的漏洞。这些设备在我们的日常生活和关键基础设施上具有巨大的影响,并因此成为关注的焦点。”
Stolfo说,现在至关重要的是主动面对思科的缺陷,因为公司的修复速度不够快。
“我们正在试图提醒制造商,不给黑客提供入侵我们电话的机会,”他说。“我们要求他们做的正如要求汽车制造商把安全带安到汽车上来拯救生命一样。”
研究人员尚未发布他们的攻击代码,因此自称的罪犯不能简单地复制他们的工作,或者在如今攻击思科的电话系统;且没有证据显示,黑客在现实世界中利用了此漏洞。他们相信别人会成功并独立地重复他们的研究,但是,思科与黑客之间存在一场竞赛,且崔认为它可能已经开始了。
“如果别人仍没能完成这个,我会感到吃惊的,”Cui说。
