Мобилната сигурност е нещо като улица в България: нови дупки се образуват всеки ден и нейните пропускателни способности са силно зависими от това шофьорите да внимават да не предизвикат инциденти. Група изследователи от някои от най-известните академични институции в Америка сега разработиха атака, наречена EarSpy, предназначена да улови това, което потребителите си говорят, чрез любопитни и неочаквани средства.
Това усилие се извършва съвместно от експерти от Университета в Дейтън, Технологичния институт в Ню Джърси, Университета Рутгерс, Тексаския университет A&M и Университета Темпъл. Изследователите и в миналото са се опитвали да съберат вибрации от високоговорителя на телефона, но тази конкретна атака е ефективна дори когато потребителят държи телефона до ухото си.
Изследователският екип тества EarSpy на смартфоните OnePlus 7T и OnePlus 9 с удивително точни резултати, използвайки само данни от слушалката и вградения акселерометър. От друга страна данните бяха трудни за извличане на по-старите модели OnePlus поради липсата на стерео високоговорители, пишат изследователите в своя документ. Те изследваха реверберациите, генерирани от високоговорителя с помощта на спектрограми и извличане на характеристиките на времево-честотната област. Фокусът на екипа беше да идентифицира пола на говорещия и съдържанието на самата реч - ако вече не е известна, нападателите може да са в състояние да определят самоличността на говорещия.
По-новите версии на Android имат по-стабилен апарат за сигурност, което прави изключително трудно за зловреден софтуер получаването на необходимите разрешения. Но атаките на EarSpy все още могат да заобиколят тези вградени предпазни мерки, тъй като необработените данни от сензорите за движение на телефона са лесно достъпни. Въпреки че повече производители вече поставят ограничения върху получаването на данни от сензорите на устройството, изследователите на EarSpy вярват, че все още е възможно да се проникне в устройството и да се подслушва разговор.
Що се отнася до ефективността на тази атака, изследователите твърдят, че EarSpy може правилно да направи разлика между мъже и жени в до 98% от случаите. Освен това той може да открие самоличността на лицето с удивителните 92% максимална точност. Все пак това пада до 56%, когато става въпрос за действително разбиране на казаното. Изследователите споделят, че това все още е 5 пъти по-точно от произволното предположение.
На теория EarSpy може да се използва от злонамерен софтуер, който е проникнал в устройството и предава информацията обратно на източника на атаката. Този доклад подчертава значението на допълнителните хардуерни предпазни мерки, особено с компоненти като сензори за движение, които може да не изглеждат лесни цели на пръв поглед.
За да отстранят тази потенциална уязвимост в съвременните смартфони, изследователите препоръчват на производителите на смартфони да поставят сензорите за движение далеч от всякакви източници на вибрации, като същевременно намаляват звуковото налягане по време на телефонни разговори.
Снимка: Unsplash
Виж още: През 2022 малуерът за Windows е скочил 5000 пъти спрямо този за macOS