黑客居然可以利用智能灯泡窃取用户数据！

研究人员发现，有的灯泡能够把个人设备中的隐私数据泄漏出来，并且可以通过远程记录其亮度模式来泄漏多媒体偏好。

为了使光源成为攻击面，它们需要满足一些要求，例如支持多媒体可视化和红外功能。攻击者不需要攻击受害者的内网来提取信息，只需要在目标设备和灯之间建立直接的连接，并在渗透过程中密切关注灯泡即可。

推断受害者的音乐和视频品味

Anindya Maiti 和 Murtuza Jadliwala 来自德克萨斯大学圣安东尼奥分校，他们对 LIFX 和飞利浦的 Hue 智能灯泡进行了研究，参透了它们接收命令从而呈现不同视觉效果的方式，并开发了一个模型用来解释智能灯泡根据音乐和视频调节亮度和色彩的机制。

在音频可视化中，灯泡的亮度级别和源声音息息相关；而在视频可视化中，灯泡的调节尺度直接反映了当前视频帧中的主要颜色和亮度级别。配套的移动应用程序可以向灯泡发送特殊格式的数据包来控制其闪烁。

这两位研究人员创建的模型要求攻击者创建光照模式数据库，比如歌曲和视频字典，它们可以用作从目标设备捕获的配置文件的参考。

电影帧以及对应的 LIFX 灯泡效果

个人设备的数据泄露

从个人设备中提取信息需要满足一些特定条件，对光照模式的简单观察并不足以窃取数据。

想要窃取数据，首先灯泡需要支持红外，并且支持本地网络无授权控制。此外，攻击者还需要在目标设备中植入恶意软件，编码私人数据并将其发送到智能灯泡。

室内和室外观察点

研究人员使用两个观察点来捕获数据：室内和室外。可以想象，室内观察点记录的结果更为准确，更长的监视时间产生更好的结果。

从100个样本集中我们发现，51首歌曲被正确预测在最高级别，而82首歌曲的类型在同一预测中是正确的，研究人员揭示了音频推断结果。

通过诸如振幅或波长移位键控的传输技术可以造成数据泄漏，此外，使用智能灯泡（LIFX）的可见光和红外光谱同样有用。

为了测试红外数据泄漏方法，研究人员选择对原始图像进行编码，并在最远50米的不同距离处对其进行解码。在5米处提取的图像是很容易辨别的，而随着数据捕获距离的增加，其可视化程度逐渐降低。然而，即使在远至50米的距离，人们依然可以分辨出图像信息。

数据泄露结果

两位研究人员所做的工作是实验性的，但它表明使用红外光可以从相对较远的距离窃取有用的信息。

为了防御这些攻击方法，我们可以让光线对外界不那么明显。窗帘就可以做到这一点。此外，选择透光率低的窗户玻璃也是一项有效的防御手段。

有关更多的技术细节，你可以阅读名为“智能灯光信息泄露”的论文（http://arxiv.org/pdf/1808.07814.pdf）。（转自CSDN）

原文：https://www.bleepingcomputer.com/news/security/novel-attack-technique-uses-smart-light-bulbs-to-steal-data/

作者简介：Ionut Ilascu 是一名自由职业者，同时是一名专注于网络安全的技术作家。他撰写的主题包括恶意软件、漏洞、漏洞利用和安全防御，以及信息安全方面的研究和创新。他的作品曾出版在 Bitdefender、Netgear、The Security Ledger 和 Softpedia。

译者：安翔，责编：郭芮