现实版心灵捕手| 黑客侵入你的脑电波成为可能

简介:

导读:未来或许还是一个迷,但是现在有一件事已经确定了:攻击者已经具备了入侵人类脑电波与医疗设备联接的能力。上周,黑客在BruCon大会上演示了针对自己大脑信号的中间人攻击,是通过使用开源EEG神经服务器包进行的。

而根据IOActive高级顾问Alejandro Hernández的描述,事情还会变得更糟。Hernández表示,盗取、控制以及重播脑电图中的脑电波的方法已经出现,而医疗行业就妥善保护脑电波记录采取的防护措施甚少,保护效果甚弱。


科普:什么是“大脑代码”

脑电波是大脑在活动时,大量神经元同步发生的突触后电位经总和后形成的。它记录大脑活动时的电波变化,是脑神经细胞的电生理活动在大脑皮层或头皮表面的总体反映。

用一句话来说明脑波的话,可以说它是由脑细胞所产生的生物能源,或者是脑细胞活动的节奏。

脑电图则是通过精密的电子仪器,从头皮上将脑部的自发性生物电位加以放大记录而获得的图形,是通过电极记录下来的脑细胞群的自发性、节律性电活动。

脑电图所描记的脑部活动图形,能说明脑部本身疾病,如癫痫、肿瘤、外伤及变性病等所造成的局限或弥散的病理表现。

EEG进入发展的快车道

在实验室与医院发展了数十年之后,脑照相术技术已经逐步进入轻量级消费品,如耳机以及其他设备。用于临床的EEG记录设备是一个诊断癫痫与睡眠障碍(如嗜睡症)的工具。

研究者认为记录脑电波有可能用于评估杀人犯的心智,创建“大脑-大脑”接口,思想便可以通过网络传播。

BBC曾报道过,科技公司Tekever使用现有的EEG技术,可以让大脑直接向软件发出指令,指挥无人机。

Ubergizmo也曾报道过,未来手机将支持脑电波解锁:

“其中的原理是每个人在面对不同字符时都会发射出独有的脑电波,这种独一无二脑电波就可以被用作解锁密码。”


Hernández针对自己的脑电波实施了中间人攻击

EEG设备漏洞,或泄露大脑密码

首先,研究人员需要锁定EEG设备。Hernández说:

“这一年的研究教会我怎样找到EEG设备中的漏洞,并识别出这些脑电波。尽管这涉及到敏感数据,但是却没有加密。”

研究人员曾使用价值80美元的MindWave设备来测量学生在解数学及其他问题时大脑的活动状况。

医疗器械目前对于不少黑客而言仍然可望而不可即,针对其破解的研究需要攻击者具备相当雄厚的财力支持,同时修改给定数据也要求黑客具有关于脑电波的相关知识。

然而,Hernández断言家用和医疗设备中存在危险漏洞,其中包括数据流被盗、应用程序漏洞,设备遭遇中间人攻击以及拒绝服务攻击。

当然,想完成如此高难度的攻击并不是易事。分析脑电波所需要具备的知识,并不是黑客普遍掌握的。


分析脑电波并不容易

上周,黑客在BruCon大会上演示了针对自己大脑信号的中间人攻击,是通过使用开源EEG神经服务器包进行的。

Hernández 在演说中强调:

“过去没人担心SCADA网络的事;而十年后我们才开始谈论它的安全……我在EEG当中发现了相同的情况,而现在正是研究安全技术的最佳时间。 如果你能从网路连线嗅到大脑的数据,你便可以再现攻击,如果操作人员与无人机之间没有任何安全保护措施,那么篡改EEG数据便不再是幻想。 或者不需要通过垃圾邮件,而是直接从EEG数据神经销售人员处直接进行攻击?”

EEG数据面临的威胁同样平淡无奇。Hernández说Vulture 南部的一家医院的EEG文件共享,任何人都能够使用流行于黑客间的搜索引擎Shodan找到服务器信息。

这些攻击过程部分是推测,部分是经过测试,但是所有这一切都是建立于EEG的安全性不佳的基础上,就如同许多新兴技术领域不重视安全一样。而Hernández的出现则预示了黑客已经将日常研究领域放在大脑检测装置上。

现实版:心灵捕手

Hernández在采访中告诉记者,由糟糕的软件设计带来的EEG安全问题,已成为常态。ENOBIO EEG设备就易受到中间人攻击。他发现了一些应用程序中不太严重的漏洞以及一些EEG软件中存在经常崩溃的现象,这些设备包括Persyst Advanced Review、Natus Stellate Harmonie Viewer、NeuroServer、BrainBay 以及 SigViewer。

Hernández 说:

“举个例子,一些应用程序通过TCP/IP协议发送原始脑电波到另一个远程端,而软件设计中并没有将安全性加入考量,因此这种流量很容易受到中间人等常见网络攻击,攻击者可以拦截并修改传送中的EEG数据。”

此外,缺乏认证的组件(例如采集设备、中间件以及终端),将会导致攻击者能够连接到一个远程TCP端口并盗取EEG原始数据。同样的缺陷让攻击轻松实现更为危险的回复攻击。

Hernández并不能断言攻击者想要访问和测试医用级EEG设备是更为困难的。但是他的研究结果无疑为那些提倡使用EEG数据作为鉴定机制的人而言,是一个绝对的坏消息。

研究者说,好消息是他发现的漏洞可以通过已有的方式进行修复:

“从技术角度来看,这无疑是一个非常棒的实践机会,同时安全性也将引起厂商的重视。”.


原文发布时间为:2015-10-16

本文来自云栖社区合作伙伴“大数据文摘”,了解相关信息可以关注“BigDataDigest”微信公众号

相关文章
|
算法 专有云 Java
使用阿里云OpenAPI专有云ASO产品
使用阿里云OpenAPI专有云ASO产品
1213 1
|
22天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
8天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
13天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
496 127
|
17天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
8天前
|
人工智能 安全 程序员
终于,Claude Code 封号的原因被曝光了!竟然针对中国用户,植入隐形代码?!
通俗易懂地揭秘 Claude Code 封号的手段,分享一些自己对 AI 编程困境的思考,Codex、Cursor、DeepSeek、智谱 GLM、甚至是豆包,都有所行动了
464 1
|
9天前
|
人工智能 安全 Cloud Native
Higress 新发布:AI Gateway 能力增强,Gateway API 及其推理扩展持续打磨
增强 AI 网关能力,持续打磨 Gateway API 及其推理扩展。
393 125
|
6天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。