美国开发者 Samy Kamkar 在 Youtube 上公开了一段 视频 ,就算你的电脑处于密码锁屏状态,只要后台浏览器依然在运行,通过 USB 接口插入这个小开发板之后,就可以获取到电脑的控制权。
他把这个小工具叫称为「Poison Tap」,基于树莓派(Raspberry Pi)微型电脑开发,演示电脑是苹果的 Mac,但 Samy 表示这个小工具可以运行在任何平台上。
不需要额外的注入代码,只要插入 USB 接口,黑客就获取了远程控制权。这个小开发板可以收集用户浏览器中存储的 Cookie,其中包含了用户浏览网页时所有的用户记录,还包含了登录信息。当黑客拿到 Cookie,就能够利用 Cookie 中存储的授权信息,以用户的身份登陆网站。
据安全专家,浏览器即便在锁屏时,也会与远程服务器之间通信,主要是因为网页中包含了许多广告脚本,它们需要保持连接状态。外部开发板可以通过数据包劫持的方式入侵电脑。即便是通过短信号码两步验证,也可以绕过。
但其实这种破解方式对普通用户的影响不大,如果是刚开机处于锁屏状态的电脑,往往没有运行浏览器,而运行浏览器的电脑,黑客又没有机会在你的电脑上插入一块电路板。
(题图来源:SAMY KAMKAR/Youtube)