通過電池就可以竊取智能手機數據 真是匪夷所思

本文由騰訊數位獨家發布

最新研究證實，邪惡之人可以將手機內的電池變成秘密監視設備，從手機中竊取機密資訊。

科研人員發布報告，解釋說智能手機如果安裝惡意電池，當你在手機上輸入資訊，只需要分析電池的功率等級就能獲取輸入內容。

手機中安裝的電池可以監測各個App消耗多少電力，對資源進行管理，延長電池壽命，提升設備敏感度。

如果在手機硬體和Battery Status API軟體之間建立一條通信通道，然後對API進行控制，就能遠程捕捉敏感資訊。

如果想發起類似的攻擊，先要將目標手機的正常電池換掉，換成有缺陷的電池。邪惡之人可以拿到設備更換電池，或者將有缺陷的電池賣給銷售商，讓他們暗中替換。

惡意電池內部裝有微型控制器，它可以記錄設備向內向外輸出的功率流數據。

接下來，邪惡之人會通過有漏洞的瀏覽器（比如Chrome）進入Battery Status API，將捕獲的敏感數據發送到惡意網站。

借助微控制器和Battery Status API獲得數據，然後用AI對數據進行分析，將功率流與特定按鍵匹配，就可以判斷用戶在鍵盤上輸入了什麽字元。

利用這種方法，黑客可以做下面的事：推斷你在觸摸屏上輸出了什麽字元；精準還原瀏覽歷史記錄；偵測來電；檢查照片元數據，比如光照環境數據。

就目前來說，要想發起類似的攻擊，Chrome瀏覽器是唯一的通道，因為Chrome有安全缺陷。Mozilla和Safari瀏覽器已經撤銷對Battery Status API的支持，所以還是安全的。

不過你不用太擔心，目前還沒有發現類似的攻擊出現，通過電池竊取資訊只是在理論上能夠做到。

通過分析GPU或者DRAM的功率數據，就可以判斷你上了什麽網站。如果想獲得更精密的資訊，就要分析CPU及功耗更高的外設，比如觸摸屏。

研究人員正在尋找辦法，看看能否防禦此類攻擊。

來源：fossbytes