Jak hakerzy włamują się do monitorów komputerowych, by oszukać użytkowników
LAS VEGAS - eksperci od bezpieczeństwa informacji ciężko pracują nad ochroną komputerów, ale mało kto martwi się o to, co dzieje się między komputerem a użytkownikiem: monitor. Ale monitory mogą być włamane, aby wyświetlić fałszywe informacje i oszukać użytkownika, dwóch naukowców pokazało wczoraj (5 sierpnia) na konferencji hakerów DEF CON tutaj.
Ang Cui i Jatin Kataria z Red Balloon Security w Nowym Jorku otworzyli monitor firmy Dell U2410 i odkryli, że jest to sam komputer, z płytą główną, systemem operacyjnym i różnymi portami. Zaprojektowali oprogramowanie monitora i wymyślili, jak dodać informacje do strumienia danych obrazowych pochodzących z komputera.
Publiczność DEF CON oglądała, jak Cui i Kataria wstrzyknęli zdjęcie na wyświetlacz, dodali ikonę bezpiecznej blokady do pola adresowego przeglądarki internetowej, zmienili kontrolkę statusu-alartu na interfejsie sterowania elektrowni z zielonej na czerwoną i zmienili saldo PayPal z 0$ na 1,000,000$.
Badacze wpadli na ten pomysł, kupując eleganckie, zakrzywione monitory Dell U3415 i zauważyli, że oferują one możliwość komunikacji z komputerami poprzez wbudowane wejścia USB. Jednak 700 dolarów U3415 było zbyt drogie, aby je rozebrać, więc Cui i Kataria osiedliły się za 150 dolarów Dell U2410, który również posiadał port USB. Stwierdzili, że firma Dell oferuje instrukcje dotyczące sposobu przesyłania oprogramowania sprzętowego do monitora.
Cui i Kataria rozebrali monitor, zbadali jego oprogramowanie i po wielu próbach i błędach wymyślili sposób wysyłania poleceń, najpierw za pomocą portu USB, a później HDMI. Nauczyli się nie tylko jak zmieniać kolor poszczególnych pikseli, ale także jak wysyłać złośliwe dane do monitora, aby obrazy pojawiały się tak, jak pochodzą z komputera.
Dodali oni zieloną ikonę blokady HTTPS do paska adresu przeglądarki internetowej, aby wyglądała ona tak, jakby notorycznie paskudna 4-kanałowa tablica obrazów zapewniała bezpieczne połączenie. (Wcale nie.) Na stronie internetowej PayPal'a monitor "pokazał", że użytkownik ma na koncie miliard dolarów, gdy komputer faktycznie wysłał obraz wskazujący na zero.
Badacze sugerowali, że będzie można włamać się do, na przykład, monitorów, które inwestorzy akcji używać do wyświetlania błędnych informacji. Nawet jeśli komputery będą wysyłać dokładne liczby, złośliwe oprogramowanie w monitorach może zmienić sposób wyświetlania tych liczb i spowodować, że ludzie czytający je będą podejmować złe decyzje.
Cui i Kataria powiedzieli, że ten problem bezpieczeństwa obrazu nie ogranicza się do monitorów firmy Dell. Powiedzieli, że kupili jeszcze cztery tańsze monitory płaskoekranowe czterech różnych głównych producentów i stwierdzili, że każdy z nich posiada ten sam rodzaj oprogramowania (które różni się od oprogramowania monitorów firmy Dell).
Innymi słowy, gdybyś nauczył się hakować jeden monitor, prawdopodobnie nauczyłbyś się hakować wszystkie monitory wielu różnych marek, o ile są one zależne od tego samego oprogramowania. I nie ma żadnego oprogramowania antywirusowego dla monitorów komputerowych.
"Jak praktyczny jest ten atak?" Cui zastanawiał się. "Cóż, nie potrzebowaliśmy do tego żadnego uprzywilejowanego dostępu do komputera. Jak bardzo realistyczna jest ta poprawka? To nie jest takie proste. Jak można zbudować bezpieczniejsze monitory w przyszłości? Nie wiemy."
