黑客可以通过他们的监视器分解亿计算机

在DEF CON会议上,来自Red Balloon Security的三个研究人员已经证明了如何通过其显示器破解计算机。

这是一个常见的错误,考虑监视器作为一个被动设备,无法被攻击者利用来破解我们的系统。

现实是完全不同的,攻击者可以劫持每个显示器并利用它们来访问我们的系统。安全研究人员团队设计了一种方法来破解嵌入式计算机,控制监视器间谍活动并操纵屏幕上的像素。

该团队由红气球安全首席科学家ang Cui领导,周五与他的同事们在拉斯维加斯的Def Con Hacking会议上展示了该技术。

攻击情景非常简单,黑客必须诱使受害者访问恶意网站,或单击大乐透走势图500期图钓鱼链接以攻击控制监视器的嵌入式计算机上运行的固件。

攻击者可以将植入物放在等待他的指示的固件中。攻击者可以通过闪烁的像素将数据发送到植入物,这些像素可以隐藏在任何Web内容中(即在视频或网站中)。

Ang Cui和他的同事红气球安全的Jatin Kataria通过损害其显示控制器来改变和记录屏幕上的像素来阐明如何破解戴尔U2410监视器。

在DEFCON演示文稿中,他们展示了如何改变网页上的详细信息,他们将PayPal的账户余额从0美元更改为100万美元。

CUI解释说,该技术可以利用到受害者身上间谍或显示未包含在计算机发送到监视器的内容中的图像和视频。

问题驻留在固件更新验证的方式中,重要的是要备注,攻击需要获得对监视器的物理访问,例如,通过HDMI或USB端口。

“一个场景,如果黑客混淆监视器为电厂显示控制,可能会伪造紧急情况。” 写道 从主板的Lorenzo Bicchierai。

“我可以让你关闭电厂吗?”崔先生问道,狡猾的微笑。 “我可以这样做。”

专家突出显示攻击不是那么快,因为图像加载速度速度很慢,无论如何这种黑客可能会对主要是静态的显示器有效,控制台 ICS系统.

黑客的影响是巨大的,潜在的10亿监视器的主要制造商在脆弱的嵌入式计算机上杠杆作用。 Security Duo分析了其他品牌的其他监视器,包括三星,宏碁和惠普,并确认在理论上可以用相同的技术破解它们。

两个专家 共享 用于GitHub演示文稿的代码。

“此repo包含Dell 2410U监视器的漏洞。它包含用于在设备上与执行代码进行通信的实用程序。这里提出的研究是为了强调缺乏安全性的“modern”屏幕显示控制器。有关我们的研究调查结果和过程,请查看我们的Recon 0xa演示文稿(包括)。介绍 @ http://www.redballoonsecurity.com/presentation/Recon_0xA_A_Monitor_Darkly.pdf”说明了GitHub上的黑客的描述

学习的课程是信任我们的监视器可能是一个坏主意!

“我们现在住在一个你不能相信你的显示器的世界里,”崔说。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请