Перехват в воздухе: новая атака записывает голос из динамика смартфона

Опубликовано at 14:05
75 0

Нетривиальный метод атаки через шпионаж за динамиком посредством акселерометра предложили эксперты по кибербезопасности. Разработанный ими джеймсбондовский метод позволяет вредоносным приложениям перехватывать голосовые данные, исходящие с динамиков смартфона без какого-либо разрешения.

Новый метод, получивший название Spearphone (не путать с одноименной линейкой наушников), задействует акселерометр, встроенный в большинство Android-устройств. Этот датчик входит в базовый набор функций устройства, и доступ к нему может получить любое приложение, включая программы, не имеющие никаких разрешений (довольно большая и в принципе не решаемая, как и accessibility-ввод проблема)

Акселерометр – прибор, с помощью которого измеряется кажущееся ускорение. Он призван помочь программному обеспечению смартфона определить положение, а также расстояние перемещения мобильного устройства в пространстве.

Описанная экспертами Spearphone-атака срабатывает в случае, когда жертва активирует режим громкоговорителя в телефоне или при видео-звонке, прослушивает медиафайлы или взаимодействует с виртуальным помощником на смартфоне. То есть, в случае, если на жертве наушники, ничего не выйдет.

В лучших шпионских традициях, эксперты разработали вредоносное Android-приложение, которое записывает реверберации с помощью акселерометра и отправляет полученные данные на сервер атакующих. В дальнейшем злоумышленник может проанализировать данные и с помощью технологий цифровой обработки сигналов и машинного обучения воссоздать произнесенные слова и извлечь нужную информацию о жертве (честно говоря, проще записывать сами разговоры через одну из бесчисленных в Google Play программ, но фантазия экспертов заслуживает уважения).

Авторы работы указывают, что атака Spearphone может использоваться для определения содержимого проигранного жертвой аудио или голосовых заметок, полученных через мессенджеры, такие как WhatsApp, персональной информации (номеров социального страхования, дат рождения, возраста, данных платежных карт, банковских счетов и т.д.).

Читайте также на АКБ:

Эксперты научились похищать данные через атаку Rowhammer

Аппаратные модули безопасности уязвимы для удаленного взлома

В Оксфорде придумали чисто британскую атаку на Android через пауэрбанк

Контроль над ноутбуком можно захватить через зарядку в порту USB-C

Фальшивый USB-кабель вашими же руками загарпунит вашу ОС

Подписываемся, следим @CyberAgency

Related Post