我们将显示器视为被动实体。计算机向显示器发送数据，它们如同魔术师般转化为生成文字和图片的像素。

但如果黑客可以黑进显示器会如何？

事实证明，确实有可能。一组研究人员发现在不需要进入实际电脑的情况下，直接入侵控制显示器的微型计算机，从而查看显示器上显示的像素—暗中监视—并控制像素显示不同的图像。

经过长达两年的研究、反向工程、在控制显示器和固件的处理器上实验，Red Balloon的安全研究人员发现在不入侵计算机的情况下便可黑进显示器。

在DEF CON黑客大会上，Red Balloon的首席科学家Ang Cui博士以及首席研究科学家Jatin Kataria演示了“黑暗显示器：反向与利用现代显示器中无所不在的屏幕显示控制器（A Monitor Darkly: Reversing and Exploiting Ubiquitous On-Screen-Display Controllers in Modern Monitors）”。这两名科学家将Monitor Darkly的概念验证代码和REcon 0xA演示发布在GitHub上，链接地址：

展开全文

本周早些时候，Cui及同事在Red Balloon位于纽约市的办公室进行了演示，展示他们如何黑进显示器。从本质上而言，如果黑客能让你访问恶意网站或点击网络钓鱼链接，他们然后能以显示器的嵌入计算机为目标，尤其是固件实施攻击。

黑客之后可以植入程序以便进步一获取指令。然后，黑客可以与植入程序通信，这种做法相当精明。植入程序等待通过闪烁像素发送的命令（可能包含在任何视频或网站内）。基本上，这个像素上传代码至显示器。从这一点可以看出，黑客能扰乱显示器。

通过利用被黑进的显示器，他们可以控制像素并通过URL添加安全锁图标，可以将PayPal账户余额从0美元修改显示为十亿美元，还可以将发电厂控制界面的警报状态从绿色改为红色。

该研究小组先将Dell U2410显示器拆解，最终找出如何改变屏幕像素的方法。他们发现固件存在安全隐患。攻击者会需要通过HDMI或USB端口访问显示器，但之后显示器将被劫持。这种情况听起来像勒索软件，不让用户查看显示器上显示的信息，除非愿意缴纳赎金。

研究人员强调，不只Dell显示器存在漏洞。在演示文稿中，许多显示器被黑。他们确定，包括宏碁、惠普和三星在内的品牌易受无法检测的固件攻击。

实际上，Cui表示，该漏洞可用来暗中监视，也能显示实际上不存在的内容。如果黑客胡乱操纵控制发电厂的显示器，也许制造一个虚假紧急情况，造成严重后果。

“如果你有显示器，就可能受影响”

研究人员警告称，该漏洞可能潜在影响十亿台显示器，因为市场上最常见的品牌都包含易受攻击的处理器。

有更简单的方法同时诱骗大量用户并在显示器上显示不真实的内容，比如在无线热点安装Newstweek设备。远程攻击者可用来操纵热点中所有人的信息。

尽管如此，对我们大多数在工作场所或家里使用的显示器而言，显示不正确信息的情况不太可能发生。如果攻击者能访问许多显示器，然后会同时影响大量用户，比如在股票交易者用来的显示器上显示伪造信息。

顽固的攻击者能利用显示器主动监视用户的所有行为，甚至会窃取数据。

Cui表示，：但是，这不是简单的入侵行为。至于此类攻击的实用性？他称：“我们不需要任何特权访问电脑执行这类攻击。”当谈及修复的现实可能性时，Cui表示，不是那么容易的事，未来如何构建更安全的显示器，我们无从得知。

这类攻击，有一个缺点，那就是加载缓慢，因此也许不是快速控制受害者计算机最有效的方法。但如果黑客的目标是工业控制系统显示器，不会是什么问题，因为这些显示器大多为静态。

对于Cui而言，在任何情况下，研究的目的是为了展示可能性，让人们了解显示器并非牢不可破。

Cui总结道，“我们现如今生活的世界，连显示器都无法信任。”

©E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。