前言
近日,来自国外的研究人员提出了一种新的技术,可以从智能灯泡获取用户的数据。举个例子,研究人员能够从远处记录智能灯泡的亮度模式来获取用户的偏好。
黑客不需要入侵用户的内部网络来提取信息,但需要满足以下条件才能行动:
使用的设备要能够直接观察到目标智能灯泡;智能灯泡需要支持多媒体可视化和红外等功能。
“看见”用户的音乐和视频
来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Jadliwala研究了LIFX和飞利浦Hue智能灯泡如何接收指令来实现各种显示效果,并开发了一个模型来解释用户在听音乐或观看视频时,联动的智能灯泡发生的亮度和色彩调制。
在播放音频时产生的可视化效果,其亮度等级反映音源情况,而在播放视频时则可反映当前视频帧中的主要颜色和亮度级别。智能灯泡应用程序通过向灯泡发送特殊格式的数据包来控制显示效果。
两位研究人员创建了一个模型,只要输入歌曲个视频亮度模式的数据库,就可以通过捕获的目标智能灯泡信息得出参考结论。
与电影联动的LIFX可视化效果
个人设备数据泄露
在某些特定条件下,还可以从个人设备中提取信息,但此时对光线变化的简单观察是不够的,需要满足以下条件:
灯泡需要支持红外照明;无需授权即可通过本地网络控制它们;在本设备中植入恶意软件,对目标设备的私人数据进行编码并将其发送到智能灯泡。
室内和室外观察点
研究人员使用两个观察点来捕获数据:室内和室外。在音高发生变化时,振幅和波长也相应地发生了变化,如此一来智能灯泡(LIFX)发出的可见光和红外光谱就可以被设备捕获,进行解码。
为了测试通过红外发射获取数据的方法,研究人员选择发射源对图像进行编码,并在不同距离对智能灯泡进行观察并解码数据。
从下图可以看出,随着视距变远,解析得到的图像质量也相应变差,但是在50米的距离上仍能获取有效的信息。
总结
虽然两位研究人员的工作是实验性质的,但它表明使用红外线或可见光仍可从相对较远的距离上窃取有意义的信息。
防御这些攻击的方法比较简单,拉上窗帘或者选择透光率低的窗户玻璃也是一种充分的防御措施。
来源: Bleeping Computer
翻译: FreeBuf.com