Hekerji lahko vsakodnevne zvočnike spremenijo v akustično spletno orožje


Zvočniki so povsod, naj gre za drage, samostojne zvočne sisteme, prenosnike, pametne domače naprave ali poceni prenosne računalnike. In čeprav se na njih zanašate v glasbi ali pogovoru, so raziskovalci že dolgo vedeli, da komercialni zvočniki tudi fizično lahko oddajajo frekvence zunaj zvočnega obsega ljudi. Na nedeljski konferenci o zaščiti Defcon v Las Vegasu en raziskovalec opozarja, da je ta sposobnost lahko oborožena.

Dovolj grozljivo je, da podjetja eksperimentirajo s sledenjem brskanju uporabnikov z igranjem neslišnih, ultrazvočnih signalov prek zvočnikov računalnika in telefona, ko obiščejo določena spletna mesta. Toda Matt Wixey, vodja raziskav o kibernetski varnosti pri tehnološkem svetovalnem podjetju PWC UK, pravi, da je presenetljivo enostavno napisati zlonamerno programsko opremo po meri, ki lahko sproži vse vrste vgrajenih zvočnikov, da oddajajo neslišne frekvence z visoko intenzivnostjo ali izpuščajo zvočne zvoke z veliko glasnostjo. Te slušne ovire lahko škodujejo človeškemu sluhu, povzročajo tinitus ali celo morebiti psihološke učinke.

"Od nekdaj so me zanimale zlonamerne programske opreme, ki lahko povzročijo ta preskok med digitalnim in fizičnim svetom," pravi Wixey. "Spraševali smo se, ali lahko napadalec razvije zlonamerno programsko opremo ali napade, ki oddajajo hrup, ki presega smernice najvišje dovoljene ravni, in zato lahko povzroči škodljive učinke uporabnikom ali ljudem okoli."

Lily Hay Newman pokriva varnost informacij, digitalno zasebnost in kramp za WIRED.

Raziskava je analizirala potencialni zvočni izhod peščice naprav, vključno z prenosnikom, pametnim telefonom, zvočnikom Bluetooth, majhnim zvočnikom, parimi slušalkami, vgrajenim sistemom javnega naslova v vozilu, vibracijskim zvočnikom in parametričnim zvočnik, ki kanalizira zvok v določeni smeri. Wixey je napisal preproste skripte kod ali nekoliko bolj popolno zlonamerno programsko opremo, ki se bo izvajal v vsaki napravi. Napadalec bi še vedno potreboval fizični ali oddaljeni dostop do naprave za širjenje in vsaditev zlonamerne programske opreme.

Od tam jih je Wixey postavil enega za drugim v zvočno izolirano posodo z minimalnim odmevom, imenovano anehoična komora. Merilnik nivoja hrupa v ohišju je meril emisije, senzor temperature na površini pa je odzval odčitke vsake naprave pred in po zvočnem napadu.

Wixey je ugotovil, da pametni zvočnik, slušalke in parametrični zvočnik lahko oddajajo visoke frekvence, ki presegajo povprečje, ki ga priporoča več akademskih smernic. Zvočnik Bluetooth, slušalke za odpravljanje hrupa in pametni zvočnik so spet lahko oddajali nizke frekvence, ki so presegale povprečna priporočila.

Poleg tega je napad na pametni zvočnik še posebej ustvaril dovolj toplote, da je po štirih ali petih minutah začel topiti notranje komponente, kar trajno poškoduje napravo. Wixey je to ugotovitev razkril proizvajalcu in povedal, da je proizvajalec naprav izdal obliž. Wixey pravi, da ne izpušča nobene zvočne zlonamerne programske opreme, ki jo je napisal za projekt, niti ne imenuje nobene posebne naprave, ki jo je preizkusil. Prav tako ni testiral napadov naprav na ljudi.

"Obstaja veliko etičnih pomislekov in želimo tveganje čim bolj zmanjšati," pravi Wixey. "Toda rezultat tega je, da bi lahko manjšino naprav, ki smo jih preizkusili, teoretično napadli in zamenjali kot akustično orožje."

Poskusi na internetnem pametnem zvočniku prav tako poudarjajo možnost, da se akustična zlonamerna programska oprema distribuira in nadzira z napadi na oddaljeni dostop. Wixey ugotavlja, da so obstoječe raziskave o škodljivi izpostavljenosti človeka zvočnim izsekom našli možne učinke, ki so tako fiziološki kot psihološki.

Akustična akademska raziskovalna skupnost vedno bolj opozarja tudi na to problematiko. "Trenutno smo v nezaželenih razmerah, ko lahko pripadnik javnosti kupi napravo za 20 dolarjev, ki jo lahko uporabi za izpostavljanje drugega človeka ravni zvočnega tlaka …, ki presega najvišje dovoljene ravni za javno izpostavljenost," Timothy Leighton, a raziskovalec na Univerzi v Southamptonu je zapisal v oktobrski številki revije Journal of Acoustical Society of America.

In čeprav še vedno ni jasno, ali je akustično orožje igralo vlogo v napadu na ameriške diplomate na Kubi, zagotovo obstajajo druge naprave, ki namerno uporabljajo glasno ali intenzivno zvočno oddajanje kot odvračilno orožje, kot zvočni topovi, ki se uporabljajo za nadzor množice.

"Ko se svet poveže in se meje porušijo, bo napadalna površina še naprej rasla," pravi Wixey. "To je bila v bistvu naša ugotovitev. Praskali smo le po površini in akustične napade kibernetskega orožja bi lahko izvedli v veliko večjem obsegu z uporabo podobnih zvočnih sistemov v arenah ali komercialnih sistemov PA v poslovnih stavbah. "

"Fizika ima smisel. In absolutno, lahko bi bila nevarna."

Ang Cui, Rdeči balon

Tudi drugi raziskovalci naprav Internet of Things so se pri svojem delu spopadli s podobnimi ugotovitvami, ne glede na to, ali so prvotno nameravali preučevati akustične izseke ali pa so zgolj spoznali potencial s študijem potrošniške elektronike. Lani je skupina raziskovalcev poročala o ugotovitvah na konferenci Crypto 2018 v Santa Barbari v Kaliforniji, da ultrazvočni izseki iz notranjih komponent računalniških monitorjev lahko razkrijejo podatke, ki so prikazani na zaslonu.

Vasilios Mavroudis, doktorski raziskovalec na University College London, je tudi v svoji raziskavi ultrazvočnega sledenja ugotovil, da je večina komercialnih zvočnikov sposobna proizvajati vsaj "skoraj ultrazvočne" frekvence – zvoke, ki so človeški neslišni, a tehnično ne štejejo za ultrazvočni – če ne več.

Ang Cui, ki je ustanovil podjetje za vgradnjo varnostnih naprav Red Balloon, je leta 2015 objavil raziskavo, v kateri je z zlonamerno programsko opremo za predvajanje podatkov s tiskalnika uporabil drobljenje notranjih komponent tiskalnika, da bi ustvaril zvoke, ki jih lahko antena pobira in razlaga .

"Sploh nisem presenečen, da se z govorci lahko manipulira na ta način," pravi Cui. "Razmislite – če ni nobenega omejevalnika ali filtra, lahko stvari, ki oddajajo zvoke, prisilijo v resnično glasne ali intenzivne zvoke. Fizika ima smisel. In absolutno, lahko bi bilo nevarno. "

Wixey predlaga številne protiukrepe, ki bi jih lahko vključili tako v strojno opremo kot v programsko opremo, da bi zmanjšali tveganje za akustične napade. Ključno je, da bi proizvajalci lahko fizično omejili frekvenčni razpon zvočnikov, tako da ne bi mogli oddajati neslišnih zvokov. Namizni in mobilni operacijski sistemi lahko uporabnike opozorijo, ko so njihovi zvočniki v uporabi, ali izdajo opozorila, ko aplikacije zahtevajo dovoljenje za nadzor glasnosti zvočnikov.

Zvočniki ali operacijski sistemi bi lahko imeli tudi digitalno zaščito za filtriranje digitalnih zvočnih vhodov, ki bi proizvajali hrup visoke in nizke frekvence. In antivirusni prodajalci bi lahko v svoje skenerje celo vključili posebne zaznave, da bi spremljali sumljive avdio vhodne dejavnosti. Okoljski zvočni nadzor za visokofrekvenčni in nizkofrekvenčni hrup bi prav tako ujel morebitne kiberakustične napade.

Čeprav zvočno orožje zagotovo ni večnamensko žaljivo orodje, Wixey poudarja, da je ena najbolj zahrbtnih stvari tega razreda potencialnih napadov ta, da v mnogih primerih ne bi imeli pojma, da se dogajajo. "Nikoli v resnici ne veste, čemur ste izpostavljeni, razen če se sprehajate z merilnikom zvoka," pravi.


Več odličnih Zgodovinskih zgodb