Hekerji lahko spremenijo običajne zvočnike v prava akustična kiber orožja

Raziskovalec kiber varnosti je demonstrital, kako lahko hekerji v nekaj potezah spremenijo komercialne zvočnike tako, da ti začnejo oddajati nadležne in celo ušesom škodljive zvoke. Zvočnike imamo danes povsod: v telefonu, računalniku, zvočnih sistemih, pametnih napravah in tudi poceni ponaredkih teh naprav. Že dolgo časa je znano, da lahko dotični komercialni zvočniki oddajajo tudi frekvence, ki jih ljudje ne slišimo. Predavatelji na Defcon konferenci v Las Vegasu so objavili izjavo, da ima prej opisana sposobnost potencial, da postane orožje.

Kot da ne bi bilo dovolj, da so podjetja že eksperimentirala s sledenjem uporabnikov preko predvajanja neslišnih, ultrasoničnih zvokov preko računalnika in zvočnika. Matt Wixey, raziskovalec na področju kiber varnosti, pravi, da je presenetljivo lahko napisati zlonamerno programsko kodo, ki bi lahko inducirala vse vrste zvočnikov, ki lahko potem naprej oddajajo neslišne, visokointenzitetne zvoke. Težava nastane, ko ti zvoki poškodujejo človeka, ki nekaj časa posluša dotični zvok.

“Že od nekdaj me je zanimala zlonamerna programska oprema in ta večkrat omenjena praznina med digitalnim svetom in fizičnim svetom,” pravi Wixey. “Trenutno je naš glavni fokus na tem, da ugotovimo, če lahko hekerji razvijejo programsko opremo ali napade za oddajanje izjemno visokih frekvenc, ki bi lahko nosili velike negativne posledice za ljudi.”

Kako je potekala raziskava?

V raziskavo so bile vključene naslednje potencialno nevarne naprave za hekersko-akustični napad. Prenosnik, pametni telefon, Bluetooth zvočnik, majhni prenosni zvočnik, “over-ear” slušalke, sistem zvočnikov v avtomobilu in parametrični zvočnik, ki usmerja zvok v točno določeno smer. Wixey je nato napisal enostavno ali malce bolj zapleteno zlonamerno kodo za vsako napravo. Bistvo poizkusa je bilo, da heker še vedno potrebuje fizični ali daljinski dostop, da bi vgradil in razširil zlonamerno programsko kodo.

Naslednji korak je bil, da je Wixey postavil posamezno napravo v zvočno izolirano sobo z minimalnim odbojem zvoka. Merilec zvočne stopnje je meril “zvočne emisije”, medtem ko je senzor za merjenje površinske temperature odčitaval naprave pred in po vsakem akustičnem napadu. Wixey je ugotovil, da so pametni zvočnik, slušalke in parametrični zvočnik bili sposobni oddajati visoke frekvence, ki so precej prestopile povprečno predlagano raven s strani akademikov. Bluetooth zvočnik, “noise-canceling” slušalke in pametni zvočnik so pa bili sposobne oddajati nizke frekvence, ki so prav tako presegle začrtano povprečje.

Poleg vsega zgoraj izpostavljenega je Wixey ugotovil še to, da hekerski napad na pametni zvočnik pod določenimi temperaturnimi pogoji začne topiti notranje komponente naprave. To seveda na dolgi rok pusti posledice na napravi. Wixey je te informacije in ugotovitve prenesel do proizvajalcev, ki so dejansko informacije upoštevali in s tem poskrbeli za večjo varnost svojih naprav. Wixey je še dodal, da ne bo izdal nobenih podrobnosti o zlonamerni kodi, ki jo je napisal za nemen dotičnega testa, prav tako pa je zatrdil, da ni preizkusil napadenih naprav na ljudeh.

Etični zadržki ovirajo “prave” raziskave

“Obstaja veliko etičnih zadržkov in mi si želimo minimizirati tveganje”, pravi Wixey. Ne glede na to pa je Wixey ugotovil, da sicer manjšina naprav, ki so jih testirali, lahko brez težav podleže hekerskim napadom in se jih lahko z nekaj naprednega tehničnega znanja uporabi kot akustična orožja. Eksperimenti na pametnih zvočnikih, ki so povezani na internet, kažejo, da lahko akustična zlonamerna programska oprema prav tako zelo škoduje, če nadzor nad njo prevzame izkušena roka. Dosedanje raziskave vplivov akustičnih vdorov v naprave so pokazale tako psihološke kot fizične vplive.

Akademska raziskovalna skupnost, ki se ukvarja z raziskovanjem akustike, že kar nekaj časa opozarja na zgoraj izpostavljene ranljivosti. “Trenutno se nahajamo v ne najbolj idealni fazi, kjer lahko kdorkoli kupi napravo za 20 evrov, s katero lahko sočloveka izpostavi različnim stopnjam zvočnega pritiska … seveda nad ravnjo, ki je sicer dovoljena v javnosti”, pravi Timothy Leighton, raziskovalec na Univerzi v Southamptonu.