Hackeri môžu premeniť bežné reproduktory na akustickú kybernetickú zbraň

Okrem prehrávania hudby či konverzácie sú bežné komerčné reproduktory fyzicky schopné vysielať aj frekvencie mimo pásma počuteľného pre ľudí. Na bezpečnostnej konferencii Defcon v Las Vegas jeden z výskumníkov varoval, že táto schopnosť by sa mohla použiť ako zbraň. Niektoré spoločnosti už experimentovali so sledovaním webového prehliadania používateľov prehrávaním nepočuteľných ultrazvukových majákov v reproduktore počítača či telefónu pri návšteve istých webových stránok.

Odborník na kybernetickú bezpečnosť Matt Wixey však hovorí, že je prekvapivo ľahké napísať vlastný malvér, ktorý môže prinútiť všetky druhy vstavaných reproduktorov, aby vysielali nepočuteľné frekvencie s vysokou intenzitou alebo vydávať počuteľné zvuky s vysokou hlasitosťou, ktoré by mohli poškodiť ľudský sluch alebo dokonca mať psychologické účinky.

V rámci výskumu analyzoval potenciálny akustický výstup niektorých zariadení vrátane notebooku, smartfónu, bluetoothových slúchadiel, malého inteligentného reproduktora, náhlavných slúchadiel, vibračného a parametrického reproduktora. Wixey napísal jednoduché skripty, ale aj trochu komplexnejší malvér, ktorý sa dal spustiť na každom zariadení. Útočník by však potreboval na implantovanie škodlivého softvéru fyzický alebo vzdialený prístup k zariadeniu.

Výskumník potom umiestnil tieto zariadenia jedno po druhom do zvukotesnej nádoby s minimálnou ozvenou, nazývanou anechoická komora. Emisie meral zvukomer vnútri krytu, pričom snímač povrchovej teploty odčítaval hodnoty každého zariadenia pred akustickým útokom a po ňom.

Wixey zistil, že inteligentný reproduktor, slúchadlá a parametrický reproduktor sú schopné vysielať vysoké frekvencie, ktoré presahujú odporúčaný priemer. Bluetoothový reproduktor, slúchadlá rušiace okolitý hluk a inteligentný reproduktor zasa dokázali vysielať nízke frekvencie, ktoré presahovali priemerné odporúčania. Navyše takýto útok najmä na inteligentný reproduktor generoval dostatok tepla na to, aby sa po štyroch až piatich minútach začali taviť jeho vnútorné komponenty.

Výskumník toto zistenie oznámil výrobcovi a tvrdí, že ten už vydal opravu. Neuviedol však, ktoré konkrétne zariadenia testoval. Takisto povedal, že nezverejnil ani jeden z akustických škodlivých kódov, ktoré napísal pre projekt. S podobnými zisteniami už prišli aj iní výskumníci, ktorí skúmali zariadenia z oblasti internetu vecí. Wixey navrhol aj množstvo protiopatrení, ktoré by mohli byť začlenené do hardvéru aj softvéru zariadení, aby sa znížilo riziko akustických útokov.

Výrobcovia by mali fyzicky obmedziť frekvenčný rozsah reproduktorov, aby neboli schopné vydávať nepočuteľné zvuky. Desktopové a mobilné operačné systémy by mohli používateľov varovať, keď sa ich reproduktory používajú, prípadne vydať notifikáciu, keď aplikácie požiadajú o povolenie prístupu k ovládaniu hlasitosti reproduktorov.

Reproduktory alebo operačné systémy by tiež mohli mať zabudovanú digitálnu ochranu na filtrovanie digitálnych zvukových vstupov, ktoré by vydávali vysokofrekvenčné a nízkofrekvenčné zvuky. Aj dodávatelia antivírusových programov by mohli do svojich skenerov začleniť monitorovanie podozrivých aktivít v oblasti zvukových vstupov. Aj keď akustické zbrane určite nie sú univerzálnym útočným nástrojom, Wixey poukazuje na ich zákernosť, pretože v mnohých prípadoch obeť vôbec netuší, čo sa deje, pokiaľ nemá k dispozícii zvukomer.

Zdroj: wired.com.