新式旁路攻擊只靠控制電流噪音就能「聽」出你的螢幕內容

來自密西根大學、賓州大學、以色列特拉維夫大學及哥倫比亞大學的幾名研究人員在上周發表一研究報告，指出駭客可以藉由視訊攝影機或螢幕所內建的麥克風，在視訊會議中或已存檔的語音紀錄中「聽見」使用者螢幕上的內容，屬於新型態的旁路攻擊漏洞。

研究人員指出，駭客可以透過麥克風紀錄電腦螢幕所發出的聲音來推測螢幕內容。電腦螢幕的聲音來自電源在控制電流時所發出的噪音，這些聲音會根據描繪螢幕視覺內容所需的電力而有所不同，人類的耳朵幾乎聽不到這些聲音，但尋常麥克風就能偵測並紀錄它們。

這些聲音可能透過Skype或Hangouts等程式傳遞，紀錄的工具可能是聲控喇叭或手機，有特定目的的駭客甚至會藉由拋物線麥克風從遠端捕獲這些聲音；研究人員展示了多種攻擊場景，包括可即時偵測螢幕上的文字，或是使用者利用虛擬鍵盤所輸入的文字，還能即時分析視訊會議時所接收的音訊，以判斷對方究竟是在觀看視訊會議的螢幕或者是在瀏覽其它網站，甚至能夠判斷對方螢幕上所顯示的是哪個網站。

根據研究人員的說法，此一資訊的洩露奠基於電腦螢幕的視覺描繪機制。他們測試了數十款LCD螢幕，包含Dell、三星、HP、ViewSonic、Philips、Soyo與蘋果等知名品牌，製造日期遠至2003年或近至2017年，發現不管新、舊的所有型號都存在著同樣的資訊外洩行為。

只要分析這些螢幕聲音的頻譜，就能建立指紋，以辨識當時螢幕上所呈現的內容。

在研究人員的實驗中，他們分別以高階麥克風及手機負責紀錄聲音，發現利用前者所蒐集的音訊而建立的單字預測列表總是會包含正確單字，準確度達100%，手機紀錄的聲音就算較不清晰，也有98%的準確度，若是用來推斷97個具指紋的網站，準確度則分別達到97.09%與91.2%。

要預防這類的攻擊可從硬體與軟體端著手，在硬體上可消除這些訊號、製造更多的噪音，或是遮避這些訊號，但都不容易實現，軟體緩解目前看來則是更適當的作法，主要是變更螢幕上的實際內容以創造一致的音訊或是故意愚弄駭客。