研究发现新恶意软件可将电脑变成蜂窝天线

一组以色列研究人员改进了从物理隔离的电脑那里窃取数据的方式。由于这些电脑与互联网隔离，因此被认为可更安全地抵御攻击。

研究人员找到了如何将电脑变成蜂窝发射器的方法，而泄露的数据则可被附近的低端移动手机接收。尽管其它研究也表明这是一种可能的数据窃取方式，但是部分方法需要对电脑做硬件进行修改。然而以色列小组研究出的这种攻击方法可以使用普通的电脑硬件来发射蜂窝信号。

他们的研究将在下周于华盛顿召开的第24届USENIX安全讨论会进行展示，这将是首次展示通过针对电脑和移动电话的特殊恶意软件窃取数据的可行性。

该研究报告的共同作者，以色列本-古里安大学博士生Yisroel Mirsky称：“如果某人想访问他人放在家中的电脑——放置在家中的电脑本身并没有与互联网连接在一起——你可能会从别人家屋外接收到信号。”

作为目标的物理隔离电脑需要安装由研究人员开发的恶意程序。这一环节可能通过创建一个蠕虫病毒，当电脑与移动硬盘连接时感染机器。据信这种方式曾被用于传播用于破坏伊朗铀离心机的震网病毒

名为GSMem的恶意软件将会在被感染电脑上作为一个发信器。它们会创建一个特殊的与内存相关的指令，然后让指令在电脑的CPU和内存之间传输，产生一个处于GSM、UMTS和LTE频率上且可让附近移动设备可以接收的无线电波。

在电脑上运行的GSMem非常小。同为以色列本-古里安大学博士生的Mordechai Guri 称：“因为我们的恶意软件小到只驻留在内存中，因此要想探测到它们非常困难，同时它们也可以轻易地避开探测。”

接收机是一台9年前生产的摩托罗拉C123的功能手机，与如今的移动电脑比起来显得非常的原始。但是为什么选择它是有一些原因的。

Guri称，许多大使馆和公司是禁止携带智能手机进入的，以防止收集信号情报。但是一些公司，包括英特尔和防务合同商洛克希德-马丁仍然允许携带非智能手机的设备进入敏感区域。

摩托罗拉C123是被允许带入的，因为它们使用的是数字基带芯片，运行的是开源软件OsmocomBB。在基带芯片上运行的大分部固件是闭源的并且难以被修改，研究人员需要有能力篡改它们。

Mirsky称，运行在摩托罗拉手机上的GSMem恶意软件组件会目标电脑的频率振幅进行采样。

一旦两个恶意软件组件都处于适当的位置，“数据收集”就开始了。摩托罗拉手机与目标电脑之间的距离最大为5米，收集数量为每秒1至2个比特。虽然数量非常小，但是足以窃取密码和密钥等数据。

使用带有性能更好的天线和处理器的智能手机可能提升攻击时的数据传输速度和传输距离。

创建性能更强大的接收机，如软件定义无线电(+微信关注网络世界)，可以将传输速度提升至每秒1000比特，距离增加至最大30米。Mirsky称，不足的是这类设备无法发挥老式功能机不易被察觉的优势，尤其是在向机构进行渗透时。

Mirsky称，一些防御措施非常简单有效，如禁止携带所有的手机进入敏感区域。另一个选择是在特定的区域内干扰蜂窝信号或是使用法拉第笼，因为其是封闭的，可通过金属驱散了电子信号，

该研究报告的共同作者还包括Assaf Kachlon、Ofer Hasson和Gabi Kedma，本-古里安大学网络实验室主任Yuval Elovici为该项目提供了指导。