因此,您不必担心Google,Amazon,Facebook和Samsung的窃听。但是,您如何看待网络罪犯在卧室里的谈话? WikiLeaks的Vault 7文件表明您可能会很快成为意外访问者的主持人。
中央情报局最危险的恶意软件-能够入侵几乎所有无线消费电子产品-现在可以存放在盗贼和恐怖分子的手。那么,这对您意味着什么?
什么是Vault 7?
Vault 7是泄露的与中央情报局(CIA)网络战功能有关的大量文件。 Vault 7中描述的许多软件都揭示了CIA如何使用智能手机,平板电脑,智能电视和其他与互联网连接的设备进行控制和监视。 3月7日,WikiLeaks发布了极少的文档。
应该使所有人感到恐惧的事情:据WikiLeaks称, CIA失去了对这些工具的控制权 。现在,罪犯(可能)拥有了它们。但是,许多已发布的漏洞(还有许多尚未发布的漏洞)都已经有将近五年的历史,并且已经被修补。
犯罪分子如何获得美国黑客工具
并非所有在情报机构工作的人都是持卡会员。中央情报局定期将工作外包给私营部门的联邦承包商。许多此类私人情报公司,例如HBGary,都缺乏中央情报局的安全。
例如,布兹·艾伦·汉密尔顿(Booz Allen Hamilton)聘用了国家安全局的承包商爱德华·斯诺登(Edward Snowden)。另外,Booz Allen Hamilton遭受了2011年的黑客攻击。
WikiLeaks在官方声明中断言(强调我的意思):
档案似乎在前美国散播。政府黑客和承包商以未经授权的方式,其中之一为WikiLeaks提供了部分存档。
引述的一部分引人注目:这些工具以“未经授权的方式"分发。含义应该涉及世界上的每个人。中央情报局可能失去了对价值1000亿美元的黑客工具投资组合的控制权。
但这不是私人参与者第一次获得危险的,政府开发的软件。
另一种武器化的恶意软件Stuxnet蠕虫在2010年被发现后很快就落入了网络罪犯的手中。从那时起,Stuxnet偶尔会弹出恶意软件。它普遍存在的一部分与其代码库有关。根据网络安全研究人员Sean McGurk的说法,可以下载Stuxnet的源代码。
您现在可以下载Stuxnet的实际源代码,可以重新使用它并重新打包它,然后知道,将其指向任何来源。
这意味着几乎所有编码人员都可以构建自己的基于Stuxnet的恶意软件套件。中央情报局对其网络武器库缺乏控制,确保漏洞利用将继续流入营利性罪犯,恐怖分子和流氓国家手中。没有比影子影子经纪人更好的例子了。
2016年,影子经纪人集团臭名昭著地拍卖了一系列国家制造的黑客工具。任何人都猜测它们是如何偷走这些工具的,但是在哪里它们是在哪里获得的:美国国家安全局。
据《拦截》报道,斯诺登泄密事件中的文件将被盗窃的工具连接起来。影子经纪人与黑客组织称为方程组(EG)。 EG使用了后来在国家赞助的Stuxnet蠕虫中发现的漏洞-这强烈表明NSA和EG之间存在联系。结合泄漏的工具,NSA和CIA似乎无法控制自己的技术。
但这是否意味着您的隐私和安全受到损害?
您的隐私和安全已经被入侵。
几乎所有现代智能产品都包括麦克风。某些设备需要按下按钮才能打开麦克风或相机。其他人则不断地聆听关键字的发音。例如,三星的一系列智能电视不断收听,录制和传输信号,而这一切都不依赖于政府的复杂监控。
三星关于其智能电视的隐私声明令人不安。尽管三星修改了其隐私服务条款以避免争议,但Twitter用户xor捕获的原始声明如下:
以下是三星的相关报价(强调我的意思):
请注意,如果您的口语包含个人或其他敏感信息,该信息将成为您通过使用而捕获并传输给第三方的数据之一
简而言之,智能电视会听到您所说的一切。三星与第三方共享该数据。但是,假定这些第三方是与您的对话仅具有商业利益的企业。
不幸的是,美国中央情报局(CIA)开发的“哭泣天使"黑客使其得以关闭,因此电视无法关闭。哭泣的天使针对三星智能电视。 Vault 7文档将此称为“假装"模式。摘自WikiLeaks:
…Weeping Angel将目标电视置于“假装"模式,因此所有者错误地认为电视在打开时处于关闭状态。在“假装"模式下,电视会像虫子一样工作,记录房间中的对话并通过互联网将其发送到秘密的CIA服务器。
三星并不孤单。毕竟,Facebook,Google和Amazon(我们对Echo的评论)也依赖于使用设备的麦克风-常常未经用户的了解同意。例如,Facebook的隐私声明声称他们确实使用麦克风,但仅在用户使用Facebook应用程序的“特定"功能时使用。
现代智能手机上最大的安全漏洞是其软件。通过利用浏览器或操作系统中的安全漏洞,攻击者可以远程访问智能设备的所有功能,包括其麦克风。实际上,这就是CIA通过蜂窝或Wi-Fi网络访问其大多数目标智能手机的方式。
— WikiLeaks(@wikileaks),2017年3月7日
Of由CIA,其承包商和合作的外国机构开发的24种Android漏洞,其中8种可用于远程控制智能手机。我假设一旦受到控制,恶意软件操作员便会使用多种攻击组合,包括远程访问,特权升级和持久性恶意软件的安装(与内存中的恶意软件相对)。
上面列出的技术通常取决于用户单击其电子邮件中的链接。一旦目标导航到受感染的网站,攻击者就可以控制智能手机。
一个不切实际的希望:Vault 7中揭示的黑客行为大部分与旧设备有关。但是,这些文件仅占CIA提供的全部黑客攻击的一小部分。这些黑客更有可能是较老的,过时的技术,而CIA不再使用。但是,这是一个错误的希望。
许多漏洞利用都广泛应用于片上系统(什么是SoC?),而不是应用于单个电话。
,在上图中,Chronos漏洞利用及其他功能可以入侵Adreno芯片组。该安全漏洞涵盖了几乎所有基于高通处理器的智能手机。同样,请记住,只有不到1%的Vault 7内容已发布。可能还有更多的设备容易受到渗透。
但是,朱利安·阿桑奇(Julian Assange)提供帮助所有主要公司修补Vault 7揭示的安全漏洞。如果运气好的话,阿桑奇可能会与Microsoft之类的人共享存档。 ,Google,三星和其他公司。
Vault 7对您的意义
该单词尚未出现在谁拥有访问档案的权限中。我们甚至不知道这些漏洞是否仍然存在。但是,我们确实知道一些事情。
尽管Google宣布已修复了CIA使用的大多数个安全漏洞,但只有不到1%的Vault 7文件已发布。由于仅发布了较早的漏洞利用程序,因此几乎所有设备都容易受到攻击。
漏洞利用程序主要是针对性的。这意味着演员(例如CIA)必须专门针对个人才能获得对智能设备的控制权。 Vault 7文件中没有任何内容表明政府正在大规模清扫从智能设备收集的对话。
情报机构agencies积漏洞,并且不会向企业披露此类安全漏洞。由于操作安全性低下,如果这些漏洞利用尚不存在,最终它们最终会落入网络罪犯的手中。
那么您能做什么吗?
最糟糕的是Vault 7的一个方面是, no 软件可以提供保护。过去,隐私权倡导者(包括Snowden)建议使用加密的消息传递平台(例如Signal),以防止中间人攻击。
但是,Vault 7的档案表明,攻击者可以记录电话的击键。现在看来,没有连接互联网的设备可以避免非法监视。幸运的是,可以修改手机以防止将其用作远程错误。
爱德华·斯诺登(Edward Snowden)说明了如何在现代智能手机上以物理方式禁用摄像头和麦克风:
作为电话的型号,斯诺登的方法需要物理上拆下麦克风阵列的焊锡(降噪设备至少使用两个麦克风)并拔下前置和后置摄像头的电源。然后,您可以使用外部麦克风代替集成的麦克风。
我要指出的是,不必拔出摄像机的插头。注重隐私的人可以用磁带将摄像机遮蔽掉。
下载存档
那些有兴趣了解更多信息的人可以下载整个Vault 7转储。 WikiLeaks打算在2017年全年分批发布档案。我怀疑Vault 7:零年级的副标题是指档案大小的庞大之处。他们每年都有足够的内容发布新的转储。
您可以下载完整的受密码保护的种子。存档第一部分的密码如下:
SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds
— WikiLeaks(@wikileaks),2017年3月7日
您是您吗?担心中情局对其黑客工具失去控制?在评论中让我们知道。
图片来源:hasan eroglu via Shutterstock.com