24/07/2019

"Spearphone Attack": Τώρα χρησιμοποιούν και τους αισθητήρες κίνησης στα τηλέφωνα Android για να σας παρακολουθούν και να σας ακούν.

Τα περισσότερα σύγχρονα smartphone έχουν επιταχυνσιόμετρα που υποτίθεται ότι αντιλαμβάνονται το πόσο γρήγορα κινείστε τα οποία είναι χρήσιμα για παράδειγμα στις εφαρμογές γυμναστικής. Οι εφαρμογές Android δεν χρειάζονται άδεια χρήσης του επιταχυνσιόμετρου του τηλεφώνου, οπότε οι ερευνητές το χρησιμοποίησαν ως συσκευή ακρόασης. Το μεγάφωνο του smartphone προκαλεί δόνηση στην συσκευή, οπότε οι ερευνητές ήταν σε θέση να κάνουν hijack στο επιταχυνσιόμετρο για να δοκιμάσουν αυτές τις δονήσεις. Η επίθεση χρησιμοποίησε ένα συνδυασμό επεξεργασίας σήματος και μηχανικής μάθησης για τη μετατροπή των δειγμάτων κραδασμών σε ομιλία. Η τεχνική λειτουργεί εάν το τηλέφωνο βρίσκεται σε κάποιο τραπέζι ή κρατείται στο χέρι του χρήστη, εφόσον το τηλέφωνο βγάζει ήχους μέσω του ηχείου και όχι μέσω ακουστικού. Όπως ισχυρίστηκαν οι ερευνητές, θα μπορούσαν να προσδιορίσουν το φύλο και την ταυτότητα του απομακρυσμένου ομιλητή με πιθανότητα 90% και 80% αντίστοιχα, με το ελάχιστο της μιας μόνο λέξης.

Το έγγραφο των ερευνητών παραθέτει αρκετές πιθανές επιθέσεις. Το λογισμικό θα μπορούσε να παρακολουθήσει ένα τηλεφώνημα, ανιχνεύοντας το φύλο και ενδεχομένως την ταυτότητα του απομακρυσμένου ατόμου. Θα μπορούσε επίσης να χρησιμοποιήσει την αναγνώριση ομιλίας για να καταλάβει τι λέει. Το λογισμικό θα μπορούσε επίσης να χρησιμοποιήσει την τεχνική για να ακούσει τα «audio files», προειδοποίησε, υποδεικνύοντας μια ύπουλη εμπορική εφαρμογή: Οι διαφημιστικές εταιρείες θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για να στοχεύσουν τα θύματα με προσαρμοσμένες διαφημίσεις, σύμφωνα με τις προτιμήσεις του θύματος. Τέλος, οι αισθητήρες κίνησης μπορούσαν να ακούσουν τις απαντήσεις του ψηφιακού φωνητικού βοηθού σας, για να μάθουν τι ακριβώς τον ρωτήσατε, για παράδειγμα τον τόπο συνάντησης σας σε ένα ραντεβού.

Ένας επιτιθέμενος θα πρέπει να «φυτέψει» κάποιο malware στο τηλέφωνο, αλλά δεδομένου ότι πολλές ψεύτικες εφαρμογές κάνουν ήδη παράνομες πράξεις στα τηλέφωνα των χρηστών, αυτό δεν είναι και πολύ απίθανο. Εναλλακτικά, ο κώδικας επίθεσης θα μπορούσε να τρέξει σε JavaScript εάν ο χρήστης εκείνη την στιγμή «βρισκόταν» σε ένα κακόβουλο ιστότοπο.

Το πιο προφανές μέτρο προστασίας είναι να ενεργοποιήσετε ελέγχους που περιέχουν άδειες για το επιταχυνσιόμετρο, όπως έκανε και η Google για άλλους αισθητήρες όπως το GPS. Ωστόσο, αυτό θα επηρεάσει άμεσα τη χρηστικότητα των smartphone, ισχυρίστηκαν οι ερευνητές και σε κάθε περίπτωση, οι χρήστες δεν λαμβάνουν πάντοτε υπόψη τις ειδοποιήσεις σχετικά με τις άδειες χρήσης.

https://www.secnews.gr/186740/android-syskevi-parakolouthei-kliseis/

No comments :

Post a Comment