Хакване с помощта на ултразвук: да се поставят смартфоните на масата вече е опасно

5
2685

Гласовите асистенти ни дават възможност да правим снимки и да изпращаме текстови съобщения единствено чрез гласови команди. Едновременно с това, те позволяват на хакерите да вършат същото с чуждите телефони, като изпращат към техните микрофони ултразвукови сигнали, които човешкото ухо не може да чуе.

Има голям брой изследвания, които показват как може да бъде излъган смартфона чрез изпращане на ултразвук. Но този подход изисква ултразвуковите вълни да преминат през въздуха, хакерът трябва да застане доста близо до жертвата, а ако излезе вятър или друг случаен фактор, проникването в чуждия мобилен телефон не може да се осъществи. Сега е предложен нов метод с име SurfingAttack, при който ултразвуковите преминават през твърди обекти. Това дава възможност на потенциалните шпиони да избегнат непосредствената близост до жертвата и да извършват по-сериозно хакване, включително кражбата на текстовите съобщения и позвъняванията.

За да проверят действието на този метод изследователите са поставили дистанционно управляваното атакуващо устройство отдолу на масата, на която седи жертвата. Ултразвуковите вълни преминават през металния или дървения плот на масата и активират смартфона, поставен върху нея.

„Ние използваме преминаването на ултразвукови вълни през твърди материали“ – споделя Кибен Ян, специалист по информатика в университета на Мичиган. „Ние можем да активираме гласовия помощник на вашия смартфон, поставен на масата, да четем вашите лични съобщения и дори да позвъним на вашите приятели“.

Експериментът бе описан в специален материал, представен на Симпозиума за безопасност на мрежите и разпределените системи (NDSS), състоял се през месец февруари тази година. Успешно са атакувани 17 популярни модела на смартфони, включително мобилни телефони на Apple, Google, Samsung, Motorola, Xiaomi и Huawei.

Ясно е, че гласовите помощници приемат гласовите команди на притежателя на смартфона с помощта на своите микрофони. Още преди няколко години специалистите разбраха, че тези команди могат да се подават и в ултразвуковия диапазон. Въпреки че тези звуци не мога да се чуят от човешкото ухо, те успешно активират системата за разпознаване на речта на смартфона.

Подобен ултразвуков метод бе представен по време на конференцията по компютърна безопасност през 2017 година. При него се използваха ултразвукови команди, с които Siri започна да осъществява връзка с FaceTime, а Google Now включи режима за полет. Но атаките от подобен род се осъществяваха с помощта на специален говорител на разстояние под 2 метра от жертвата. След това, по време на същата конференция през 2018 година разстоянието бе увеличено до 8 метра.

Но този метод използва подаването на ултразвуковите команди през въздуха, а този подход има два основни недостатъка – за успешно хакване на смартфоните са необходими големи говорители или дори цели масиви от говорители. Второ, обектите, попаднали между говорителя и смартфона и дори и повей на вятъра провалят атаката от подобен тип.

Изпращането на ултразвукови вълни през твърди повърхности дава възможност на атаката SurfingAttack да избегне тези проблеми.

„В нашия случай околната среда на практика не влияе на осъществяването на тази атака“ – каза Нин Чжан, специалисти по информатика в университета Вашингтон в Сент Луис. „При разпространението на ултразвуковите вълни през въздуха, ако някой мине наблизо – например в летището или заведението, сигналът ще бъде блокиран за разлика от нашата атака, при която дори няма значение какви неща са поставени на масата“.

Освен това специалистите подчертават, че техният метод е на практика незабележим, понеже ултразвуковите вълни се излъчват от компактно и малко по размери устройство, което може да се прилепи към долната част на масата. Според Ян, готовото устройство от подобен тип струва под $100. И още нещо, при SurfingAttack могат да бъдат не само изпращани, но и приемани ултразвукови сигнали.

„Считам, че това е един наистина интригуващ експеримент, понеже тази атака не изисква разпространение на сигналите във въздуха“ – твърди Нирупам Рой, доцент от катедрата по информатика в университета на Мериленд, който не участва в това изследване.

 

Той високо оцени мерките предприети от изследователите относно преминаването на ултразвука през плота на масата без какъвто и да било шум и резонанси, които биха могли да привлекат вниманието на собственика на смартфона.

За да не станат жертва на хакерите, изследователите предлагат на потребителите да ограничат възможностите на вградените виртуални помощници.

„Това, което може да направи хакерът директно зависи от това, доколко потребителят зависи от своя смартфон“ – споделя Чжан. „Ако например дадете на Siri достъп до своята изкуствена задстомашна жлеза за инжекции с инсулин, наистина можете да имате големи проблеми, понеже хакерът може да направи така, че да получите нелепо голяма доза инсулин. Но ако сте по-предпазлив човек и давате възможност на Siri само да търси информация в мрежата и да чете вицове, то подобна атака няма как да ви навреди“.

Като друг начин за предпазване на смартфона от атаката SurfingAttack се предлага използването на кутийка от пенопласт или поставянето на смартфона върху някакъв плат, а не директно на масата. Тези материали по-ефективно спират ултразвуковото излъчване в сравнение с обикновените калъфи за смартфони и могат да предотвратят подобно проникване в мобилния телефон.

Целта на подобни изследвания не е постигането на пълен реализъм и 100% успешни атаки. По този начин специалистите по принцип обръщат внимание на някоя специфична уязвимост, която разработчиците мога да оправят преди хакерите да започнат масово да я използват.

5
ДОБАВИ КОМЕНТАР

avatar
5 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Виво
Виво

аз ги хаквам по водопровода…

Gero
Gero

Много тъпа статия.

the professor
the professor

моя така никой няма да го хакне, деинсталирал съм всички услуги на GOOGLE… освен магазина… достъп до микрофона имат само приложението телефон, приложението за камерата и shazam (на което съм забранил да работи на заден фон)…

Гого
Гого

Щом са го тествали и са успяли, значи може. У мен обаче, се пораждат следните въпроси: 1. Каква е чувствителността на микрофона, за да улавя тези честоти? Обикновено една от чертите на професионалните микрофони е широкия диапазон, а те са ужасно скъпи… 2. Ако не е активиран гласовият асистент или е персонализиран от собственика как се случва хакването? 3. При предполагаемото хакерско активиране, телефонът би следвало да реагира както обикновено при гласови команди – вибриране, светване на екрана, придвижване по менютата… 4. Командите имат ограничения и не препокриват всички възможни функции. 5. Ако този вид хакване е реално, дали това… Виж още »

Technical
Technical

Ако човек деинсталира гласовите асистенти или им намали правата, не би трябвало да има проблеми, не че масовият потребител има нещо за кражба, данните му отдавна са в мрежата и доброволно си ги е дал във Фейсбука, Туитъра и т.н. Бизнесмените с чувствителни данни дори сега не си оставят данни в телефоните и телефоните на масите. Илон Мъск използва евтини телефони с хардуерна клавиатура и ги хвърля след всеки разговор.