E安全6月8日讯 以色列本-古里安大学网络安全研究中心的研究人员发现，当网络设备（例如路由器和交换机）的比特率相对较高时，设备上的状态显示LED指示灯能被滥用，窃取物理隔离（Air Gap）系统的敏感数据。

研究人员开发出恶意程序，当安装到路由器或网关上时它能控制设备上的 LED 灯，使用 LED 以二进制格式向附近的攻击者传输数据，攻击者可以使用视频记录设备来接收数据。固件攻击实施起来相对较难，因为需通过供应链或社交工程感染路由器，但软件攻击相对容易许多，因为远程可利用的漏洞本身就影响了许多设备。

一旦目标路由器或交换机被攻击，攻击者就可以控制LED指示灯的闪烁方式，之后通过数据调制方法，利用一个或几个LED指示灯闪烁将数据传输到接收器（可以是相机或光传感器）。

例如，如果某个LED指示灯在某个时间内处于关闭状态，就传输比特（Bit）“0”，如果该LED指示灯在某个时间段内亮起，就发送“1”。“0”或“1”比特信号还可在频率变化时被调制。如果设备有多个LED指示灯，攻击者可以使用闪烁的LED指示灯表示一系列比特，从而带来较高的传输速率。当每个LED指示灯的传输速率达到1,000 bps，这种方法就可用来渗漏数据，这足以窃取密码和加密密钥。在带有7个LED指示灯的网络设备上，研究人员设法让传输速率达到10,000 bps。

E安全百科：

bps（bits per second），即比特率、比特/秒、位/秒、每秒传送位数，数据传输速率的常用单位。如1Mbps（兆位/秒）。1Mbps 等于8,388,608 bps。

然而，传输速率还取决于接收器。例如，如果入门级数码单反相机被用来捕捉闪烁LED指示灯的视频，每秒60帧需要的最大比特率为15 bps（每个LED指示灯）。攻击者还可以使用智能手机的相机，获得高达60 bps的传输速率。

最高效的相机是GoPro Hero5，每秒最多可以记录240帧，从而使每个LED指示灯的最大比特率达到120 bps。最佳接收器要数光传感器，攻击者可以用其实现最佳的传输速率。

通过以下代码片段，攻击者能够通过控制LED状态灯闪烁方式实现信号发送，同时利用光学传感器中的远程摄像头对信号加以捕捉：

Algorithm 1 ModulateOOK
1: procedure ModulateOOK(nLED, data, T)
2: openLED(nLED); //opens the LED file for writing
3: while(data[i] !=0)
4: if(data[i] == ‘0’) //modulate 0 by turning the LED off
5: setLEDOff(nLED);
6: if(data[i] == ‘1’) //modulate 1 by turning the LED on
7: setLEDOn(nLED);
8: i++;
9: sleep(T); // sleep for time period of T
10: closeLED(nLED); // closes the LED file descriptor

下面的研究人员公布的Shellscript：

// Method #1
// turn the LED on
1: echo 0 > /sys/class/leds/led_name/brightness
// turn the LED off
2: echo 255 > /sys/class/leds/led_name/brightness
// Method #2
3: echo 1 > /proc/gpio/X_out // turn the LED on
4: echo 0 > /proc/gpio/X_out // turn LED off

以下是研究人员公布的演示攻击视频。

https://v.qq.com/txp/iframe/player.html?vid=p0511kz8urp&width=500&height=375&auto=0
E安全的读者可以前往E安全官方网站下载完整这项技术的完整论文《xLED: Covert Data Exfiltration from Air-Gapped Networks via Router LEDs》。

本-古里安大学的研究人员过去几年确认了几种将数据从气隙系统渗漏出去的方法，包括通过扫描仪、HDD活动LED灯、USB设备、硬盘驱动和风扇发出的噪声和散热。

相关阅读：

[视频]黑客利用无人机与平板扫描仪隔空发起网络攻击

物理隔离也不安全!黑客通过U盘可“隔空”窃取数据