Тема:

Компьютерная безопасность 9 суток назад

Смартфоны и другие устройства можно взломать при помощи звуковых волн

Смартфоны, фитнес-трекеры и даже автомобили могут быть взломаны с помощью звуковых волн.
ото Joseph Xu, Michigan Engineering.

Представьте ситуацию: злоумышленник перехватывает управление автономным автомобилем, когда "водитель" всего лишь включает музыкальное произведение с добавленным в него и незаметным уху звуком с вредоносными частотами. Можно было бы предположить, что это сюжет научно-фантастического фильма. Отнюдь. Недавно исследователи из Мичиганского университета представили убедительные доказательства того, что целый ряд устройств (таких как смартфоны, фитнес-трекеры и даже автомобили) может быть взломан при помощи специальных звуковых волн.

Дело в том, что огромное количество устройств, которые мы ежедневно используем, полагаются на встроенные датчики, считывающие и реагирующие на окружающие их условия в режиме реального времени. Такие технологии известны под общим названием микроэлектромеханические системы (MEMS, или МЭМС). Одними из наиболее широко используемых сегодня сенсорных систем являются ёмкостные МЭМС-акселерометры, измеряющие скорость и ускорение, помогающие работать навигационным системам. Их можно найти во многих современных гаджетах: от имплантируемых медицинских приборов до важнейших промышленных систем и потребительских устройств.

Исследователи из США выяснили, что все эти акселерометры можно "одурачить" при помощи особых звуковых волн. Иными словами, они начнут выдавать ложную информацию. Такие фальшивые данные могут быть так точно откалиброваны, что позволят специалистам контролировать некоторые устройства.

Команда учёных использовала недорогой динамик и точно настроенный акустический тон, чтобы обмануть 15 различных моделей акселерометров и заставить их регистрировать движения, которые на самом деле не происходили. Подобный подход открыл для инженеров "потайную дверь" и позволил исследователям как взломщикам контролировать другие аспекты работы систем.

Например, они проигрывали вредоносный музыкальный файл с помощью недорогого динамика, и это провоцировало фитнес-трекер Fitbit регистрировать тысячи фальшивых шагов. Специалисты отмечают, что несколько крупных компаний предлагают бонусные программы пользователям Fitbit, демонстрирующим выдающиеся успехи. Исследователи присоединились к таким программам во время эксперимента и даже заработали баллы благодаря фиктивной активности, порождённой акустическим взломом.

Но первый пример всё-таки не несёт такую опасность, как следующий. Исследователи проиграли вредоносный музыкальный файл из динамика смартфона, чтобы контролировать акселерометр телефона на базе операционной системы Android. Последний использовал приложение, контролирующее движение игрушечного автомобиля на дистанционном управлении. Они также использовали различные вредоносные музыкальные файлы, чтобы акселерометр телефона Samsung Galaxy S5 отобразил на графике слово "орех" (walnut).

"Наши результаты изменяют общепринятое представление о безопасности оборудования", — говорит исследователи из Мичиганского университета Кевин Фу (Kevin Fu).

Новая работа ставит под сомнение давнее убеждение специалистов в области информатики о том, что программное обеспечение может автоматически доверять всем данным с сенсоров. Последние питают автономную систему самой простой основополагающей информацией, используемой для принятия решений.

"Если вы посмотрите на этот вопрос сквозь призму информатики, то вы не увидите проблему с безопасностью. Если посмотрите на это сквозь призму материаловедения, то вы вновь не увидите проблему с безопасностью. Только смотря сквозь обе линзы одновременно, можно разглядеть эту уязвимость", — отмечает Фу.

Как уже было сказано выше, сегодня тысячи приборов уже содержат в себе МЭМС-акселерометры. Автономные системы, которые, например, присутствуют у дронов-курьеров или в самоуправляемых автомобилях, основывают свои решения именно на показаниях своих датчиков, говорит автор исследования Тимоти Триппел (Timothy Trippel) из Мичиганского университета.

"Люди тоже имеют свои "датчики" – глаза, уши, нос, и мы доверяем нашим чувствам, чтобы принимать какие-то решения, — говорит Триппел. – Если автономные системы не могут доверять своим "чувствам", то безопасность и надёжность этих систем подвергается сомнению".

 

Исследователи предлагают несколько возможных путей решения проблемы: от изменений в конструкциях оборудования до нескольких недорогих вариантов программного обеспечения, которые смогут снизить беззащитность устройств к акустическим атакам.

Полный доклад исследования учёные представят в конце апреля на ежегодном симпозиуме по безопасности и защите частной информации (IEEE European Symposium on Security and Privacy).

Ранее исследователи утверждали, что в будущем от хакеров придётся защищать даже мозг. Но то в будущем, а уже сегодня стоит аккуратнее вводить ПИН-коды.

Сегодня