Kan du hackas av världen runt dig?

Du har förmodligen fått veta att det är farligt att öppna oväntade bilagor i din e-post - precis som att du inte ska öppna misstänkta paket i din brevlåda. Men har du blivit varnad mot att skanna okända QR-koder eller bara ta en bild med din telefon? Ny forskning tyder på att cyberattackers kan utnyttja kameror och sensorer i telefoner och andra enheter.

Som någon som undersöker 3-D modellering, Inklusive bedöma 3-D-skrivna objekt för att vara säker på att de uppfyller kvalitetsstandarder, är jag medveten om att vara sårbar för metoder för lagring av skadlig datorkod i den fysiska världen. Vår grupps arbete finns i laboratoriet och har ännu inte stött på skadlig kod som är dold i 3-D utskriftsinstruktioner eller kodade i strukturen hos ett objekt som skannas. Men vi förbereder oss för den möjligheten.

För närvarande är det inte mycket troligt för oss: En angripare skulle behöva mycket specialiserad kunskap om systemets funktioner för att lyckas att attackera den. Men dagen kommer när intrång kan hända genom normal kommunikation med eller sensing utförs av en dator eller smartphone. Produktdesigners och användare måste vara medvetna om riskerna.

Överföring av infektion

För att en enhet ska bli infekterad eller kompromissad måste den avskyvärda parten räkna ut något sätt för att få datorn att lagra eller bearbeta skadlig programvara. De mänsklig på tangentbordet har varit ett gemensamt mål. En angripare kan skicka ett e-postmeddelande till användaren att han eller hon har vunnit lotteriet eller kommer att vara i trubbel för att inte svara på en arbetsledare. I andra fall är ett virus utformat för att oavsiktligt utlösas av rutinmjukvara.

Forskare vid University of Washington testade en annan möjlighet nyligen, inbäddning av ett datavirus i DNA. Den goda nyheten är att de flesta datorer inte kan få ett elektroniskt virus från dålig programvara - kallad skadlig kod - inbäddad i en biologisk. De DNA-infektion var ett test av konceptet att attackera en dator utrustad att läsa digital data lagrad i DNA.

innerself prenumerera grafik

På samma sätt, när vårt team söker efter ett 3-D-skrivat objekt, lagrar och lagar vi data från bilderna vi samlar in. Om en angripare analyserade hur vi gör det, kunde de - kanske - identifiera ett steg i vår process som skulle vara sårbar för en kompromissad eller skadad datauppgift. Då skulle de behöva designa ett objekt för att vi skulle kunna skanna som skulle få oss att ta emot dessa data.

Närmare på hem, när du skannar a QR code, din dator eller telefon bearbetar data i koden och tar lite åtgärd - kanske att skicka ett e-postmeddelande eller gå till en angiven webbadress. En angripare kan hitta ett fel i en kodläsareapp som tillåter att viss exakt formaterad text utförs i stället för att bara skannas och bearbetas. Eller det kan vara något som är utformat för att skada telefonen väntar på målwebbplatsen.

Otillräcklighet som skydd

Den goda nyheten är att de flesta sensorer har mindre precision än DNA-sekvenser. Till exempel kommer två mobiltelefonkameror som pekar på samma ämne att samla in något annorlunda information baserat på belysning, kameraposition och hur nära det zoomas in. Även små variationer kan göra kodad skadlig kod oanvändbar, eftersom den avkända data inte alltid skulle vara tillräckligt noggrann att översätta till arbetsprogram. Så det är osannolikt att en persons telefon skulle hackas bara genom att ta ett foto av något.

Men vissa system, som QR-kodläsare, innehåller metoder för att korrigera anomalier i avkänd data. Och när sensormiljön är högt kontrollerad, som med vår senaste arbete för att bedöma 3-D-utskrift, det är lättare för en angripare att påverka sensoravläsningarna mer förutsägbart.

Det som kanske är mest problematiskt är förmågan att känna till att ge en gateway till system som annars är säkra och svåra att attackera. För att förhindra infektion av vårt 3-D-utskriftskvalitetsavkänningssystem med en konventionell attack, vi föreslagen placera den på en annan dator, en frånkopplad från internet och andra källor till potentiella cyberattack. Men systemet måste fortfarande skanna det utskrivna objektet 3-D. Ett skadligt utformat objekt kan vara ett sätt att attackera det här systemet som inte är kopplat till varandra.

Screening for prevention

Många mjukvaruutvecklare tänker ännu inte på möjligheterna för hackare att manipulera avkänna data. Men i 2011 kunde den iranska regeringen hackare kunna fånga en amerikansk spion drone på det här sättet. Programmerare och datoradministratörer måste se till att avkända data screenas före bearbetning och hanteras säkert för att förhindra oväntad kapning.

Förutom att utveckla säker programvara kan en annan typ av system hjälpa till: An intrångsdetekteringssystem kan leta efter vanliga attacker, ovanligt beteende eller ens när saker som förväntas hända gör det inte. De är inte perfekta, självklart, ibland misslyckas med att upptäcka attacker och hos andra felidentifierande legitima aktiviteter som attacker.

AvlyssningenDatoranordningar som både känner och ändrar miljön blir allt vanligare - i tillverkning av robotar, dronor och självkörande bilar, bland många andra exempel. När det händer växer potentialen för attacker till både fysiska och elektroniska element väsentligt. Attackers kan tycka att det är väldigt attraktivt att bädda in skadlig programvara i den fysiska världen, väntar bara på intet ont anande personer att skanna den med en smartphone eller en mer specialiserad enhet. Den skadliga mjukvaran döljs helt enkelt och blir ett slags "sovande agent" som kan undvika detektering tills det når sitt mål - kanske djupt inne i en säker statsbyggnad, bank eller sjukhus.

Om författaren

Jeremy Straub, biträdande professor i datavetenskap, North Dakota State University

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

Relaterade böcker:

at InnerSelf Market och Amazon