在上周於拉斯維加斯舉辦的BlackHatUSA2022大會上,來自佛羅裡達與新罕佈什爾大學的研究人員,演示如何通過“隱形手指”來遠程操控目標設備的觸控屏。盡管人們早就知曉電磁場(EMF)可對電子設備產生一些奇怪的影響,但最新實驗還揭示一套更加復雜的技術——通過機械臂和多個天線陣列,遠程模擬手指對多個電容式觸控屏設備的操作。
該方法涉及使用一副隱藏的天線陣列來精確定位目標設備的位置,並使用另一個來生成具有精確頻率的電磁場。以將電壓信號饋送至觸屏傳感器。後者可處理這些信號,並解釋為特定類型的觸摸操作。
在實驗室環境中,研究團隊已在包括 iPad、OnePlus、Google Pixel、Nexus 和 Surface 等品牌在內的多種設備上,成功模擬任意方向的點擊、長按和滑動操作。
理論上,黑客也可利用這項‘隱形手指’技術技術,來遠程執行任何預期的觸屏操作。佛羅裡達大學博士生兼會議首席演講人 Haoqi Shan 表示:
它能夠像你的手指一樣工作,我們甚至可在 iPad 和 Surface 上模擬全方位的滑動操作,並且完全可用它來觸發基於手勢的解鎖動作。
Invisible Finger End-to-End Attack Demonstration - Inside Out(via)
測試期間,他們使用該技術在 Android 手機上安裝惡意軟件、以及往指定 PayPal 賬戶匯款。
但是這項方案也並非萬能,比如任何需要響應 Android“是 / 否”對話框的操作,就因按鈕靠得太近而難以精確模擬。
最後,在這項技術的成本變得足夠低廉之前,大傢還是無需擔心遇到類似的攻擊。畢竟光是用於精確定位的電磁天線 + 機械臂,動輒就要耗費數千美元的資金。
此外攻擊者必須深入解觸摸屏的工作原理,以及摸清觸發相關手勢所需的精確電壓。