Киберпреступность: звуковая атака на мобильный телефон.

Исследователи сообщают, что ультразвуковые волны могут активировать Siri на вашем мобильном телефоне и заставлять его совершать звонки, делать снимки или читать текстовые сообщения незнакомцу.

Все это можно сделать и без ведома владельца телефона.

Атаки на мобильные телефоны не новы, и исследователи ранее показали, что ультразвуковые волны могут использоваться для передачи единой команды по воздуху.

Новое исследование, однако, расширяет область уязвимости, которую ультразвуковые волны представляют для безопасности мобильных телефонов. Исследователи обнаружили, что эти волны могут распространяться по многим твердым поверхностям для активации систем распознавания голоса, и, с добавлением некоторого дешевого оборудования, человек, инициирующий атаку, также может услышать ответ телефона.

«Мы хотим повысить осведомленность о такой угрозе», — говорит Нинг Чжан, доцент кафедры компьютерных наук и инженерии в Школе инженерии МакКелви в Вашингтонском университете в Сент-Луисе. «Я хочу, чтобы все в обществе знали об этом».

УПРАВЛЕНИЕ ТЕЛЕФОНАМИ НА РАССТОЯНИИ

Исследователи смогли отправлять «голосовые» команды на мобильные телефоны, когда они незаметно сидели на столе рядом с владельцем. С добавлением скрытно расположенного микрофона исследователи могли общаться с телефоном взад-вперед, в конечном счете управляя им издалека.

Ультразвуковые волны — это звуковые волны с частотой выше, чем люди могут слышать. Микрофоны мобильных телефонов, тем не менее, могут и действительно записывать эти более высокие частоты.

«Если вы знаете, как играть с сигналами, вы можете манипулировать ими так, что, когда телефон интерпретирует поступающие звуковые волны, он будет думать, что вы произносите команду», — говорит Чжан.

Чтобы проверить способность ультразвуковых волн передавать эти «команды» через твердые поверхности, исследовательская группа провела множество экспериментов, в которых на столе находился телефон.

К основанию стола были прикреплены микрофон и пьезоэлектрический преобразователь (PZT), который используется для преобразования электричества в ультразвуковые волны. На другой стороне стола от телефона, якобы скрытого от пользователя телефона, находится генератор сигналов для генерации правильных сигналов.

КАК РАБОТАЮТ СЕРФОВЫЕ АТАКИ

Команда провела два теста, один для получения пароля (текстового) SMS-сообщения, а другой — для мошеннического вызова. Первый тест основывался на общей команде виртуального помощника «читать мои сообщения» и использовании двухфакторной аутентификации, при которой пароль-пароль отправляется на телефон пользователя — например, из банка — для проверки личности пользователя.

Сначала злоумышленник сказал виртуальному помощнику уменьшить громкость до уровня 3. На этом уровне жертва не замечала реакции своего телефона в офисе с умеренным уровнем шума.

Затем, когда поступило смоделированное сообщение из банка, атакующее устройство отправило на телефон команду «читать мои сообщения». Ответ был слышен в микрофон под столом, но не в жертву.

Во втором тесте атакующее устройство отправило сообщение «Позвони Сэму с громкой связью», инициировав вызов. Используя микрофон под столом, злоумышленник смог продолжить разговор с «Сэмом».

Команда протестировала 17 различных моделей телефонов, включая популярные модели iPhone, Galaxy и Moto. Все кроме двух были уязвимы для ультразвуковых волн.

КАК ЗАЩИТИТЬСЯ ОТ АТАК

Они также проверили различные поверхности стола и конфигурации телефона.

«Мы сделали это на металле. Мы сделали это на стекле. Мы сделали это на дереве», — говорит Чжан. Они пытались расположить телефон в разных положениях, меняя ориентацию микрофона. Они помещали предметы на стол, пытаясь ослабить силу волн. «Это все еще работает», — говорит он. Даже на расстоянии до 30 футов.

Ультразвуковые волны также воздействовали на пластиковые столы, но не так надежно.

Случаи телефонной связи лишь незначительно повлияли на показатели успешности атаки. Размещение воды на столе, потенциально поглощающее волны, не имело никакого эффекта. Более того, волна атаки может одновременно затронуть более одного телефона.

Чжан говорит, что успех «серф-атаки», как это называется в газете, подчеркивает редко обсуждаемую связь между кибер и физическим. Часто СМИ сообщают о том, как наши устройства влияют на мир, в котором мы живем. Наши телефоны разрушают наше зрение? Наушники или наушники повреждают наши уши? Кто виноват, если автомобиль с самостоятельным вождением стал причиной аварии?

«Мне кажется, что физике наших вычислительных систем уделяется недостаточно внимания», — говорит он. «Это станет одним из ключей к пониманию атак, которые распространяются между этими двумя мирами».

Команда предложила несколько защитных механизмов, которые могли бы защитить от такой атаки. По словам Чжана, одной из идей будет разработка программного обеспечения для телефона, которое анализирует принятый сигнал, чтобы различать ультразвуковые волны и подлинные человеческие голоса. Изменение макета мобильных телефонов, например, размещение микрофона, для подавления или подавления ультразвуковых волн также может остановить атаку на серфинг.

Но Чжан говорит, что есть простой способ уберечь телефон от воздействия ультразвуковых волн: межслойная защита, которая использует мягкую тканую ткань для увеличения «несоответствия импеданса».

Другими словами, положите телефон на скатерть.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

пятнадцать − 5 =