美国流行音乐女歌手Janet Jackson的1989年《Rhythm Nation》专辑的音乐视频已被正式宣布为是安全漏洞,原因是它会导致旧电脑上一些型号的硬盘驱动器崩溃。
这个漏洞编号为CVE-2022-38392,实际上是一种拒绝服务(DoS)攻击,具体来说是侧信道攻击,会导致2005年以后出厂的一些笔记本电脑的硬盘驱动器发生故障和崩溃。此外,它与一种名为共振的物理现象有关。
坏唱片和“磁带骤停”这类术语对于DJ和音乐爱好者来说再熟悉不过,但一首歌曲就能让硬盘崩溃还是头一回听说。
微软博主Raymond Chen本周在一篇简明的文章(https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994)中透露了为什么播放某个昔日的音乐视频会导致一些笔记本电脑崩溃。
Chen描述道:“我的一位同事分享了来自Windows XP产品支持部门的一则故事。一家大型电脑制造商发现,播放Janet Jackson的《Rhythm Nation》专辑的音乐视频会导致某些型号的笔记本电脑发生崩溃。”
据Chen声称,不仅如此,播放这则音乐视频甚至会导致其他厂商制造的笔记本电脑崩溃。
Chen透露调查人员发现了更为吊诡的事情:
“在一台笔记本电脑上播放这则音乐视频导致放在旁边的一台笔记本电脑崩溃,即使那台笔记本电脑并没有在播放这则视频!”
“后来才发现,这首歌含有与这家电脑制造商及其他制造商使用的5400转速笔记本电脑硬盘型号产生共振的自然频率之一。”
共振是一种物理现象,即一个物体产生的声音以与另一个物体产生的声波相同的频率振动。这会导致振幅加大。这就是为什么过去桥梁会倒塌,为什么士兵集体过桥时调整步伐、以免步伐一致。
这是官方的漏洞编号。《Rhythm Nation》已被MITRE视为一个安全漏洞,还被分配了编号CVE-2022-38392。
不过客观地说,现代设备上播放音乐视频带来的安全风险几乎不存在。
Chen解释道,即使在过去,制造商“在音频管道中添加一个自定义过滤器,以检测并清除音频播放期间的共振频率”,从而解决了这个问题。
但是检测并清除来自音轨的共振频率实在太麻烦了!
这位博主嘲笑道:“我确信厂家在那个音频过滤器上贴了数字版本的‘请勿移除’标签(不过我担心在添加这个替代方法多年后,没有人记得为何有这个替代方法。但愿他们的笔记本电脑仍没有装有这个音频过滤器,以防止他们不再使用的硬盘型号受到损坏)。”
2017年,一位名叫Alfredo Ortega的安全研究人员演示了播放130Hz的音调如何使普通硬盘几乎完全停止响应命令。
就在同一年,普林斯顿大学和普渡大学的科学家们发表了一项研究,解释了针对硬盘驱动器的声频攻击可能会破坏PC、自动柜员机(ATM)和闭路电视等系统。
参考及来源:https://www.bleepingcomputer.com/news/security/janet-jacksons-music-video-is-now-a-vulnerability-for-crashing-hard-disks/