Используя ультразвуковые волны, распространяющиеся по твердой поверхности (например, офисный стол), исследователи смогли читать текстовые сообщения и производить мошеннические звонки на мобильный телефон, находящийся на расстоянии до 15 метров.
Ультразвуковые волны не издают ни звука, но они все же могут активировать, например Siri на вашем мобильном телефоне и заставлять его совершать звонки, делать снимки или читать содержимое текста незнакомому человеку. Все это без ведома владельца телефона.
Атаки на мобильные телефоны не новость, и исследователи ранее показали, что ультразвуковые волны могут использоваться для передачи команд по воздуху. Однако новое исследование расширяет область такого рода уязвимости, которую ультразвуковые волны представляют для безопасности мобильных телефонов. Исследователи обнаружили, что эти волны могут распространяться по многим твердым поверхностям для активации систем распознавания голоса и - с добавлением кое-какого недорогого оборудования - человек, инициирующий атаку, даже может услышать ответ телефона. Исследователи смогли отправлять «голосовые» команды на мобильные телефоны, незаметно находясь недалеко от владельца телефона. А с добавлением скрытно расположенного микрофона исследователи смогли общаться с телефоном напрямую, в конечном итоге управляя им издали.
Ультразвуковые волны - это звуковые волны с частотой выше, чем люди могут слышать. Микрофоны мобильных телефонов, тем не менее, могут «слышать» эти высокие частоты. При правильной «настройке» ультразвуковыми сигналами можно обмануть телефон таким образом, чтобы при интерпретации поступающих звуковых волн он думал, что вы произносите команду. Чтобы проверить способность ультразвуковых волн передавать эти «команды» через твердые поверхности, исследовательская группа провела множество экспериментов, расположив телефон на обычном деревянном офисном столе. К основанию стола были прикреплены микрофон и пьезоэлектрический преобразователь (PZT), который используется для преобразования электричества в ультразвуковые волны. На другой стороне стола от телефона, находится генератор сигналов для генерации «правильных» сигналов. Команда провела два теста, один для получения пароля (текстового) SMS-сообщения, а другой - для мошеннического телефонного вызова. Первый тест основывался на общей команде виртуального помощника «читать мои сообщения» и использовании двухфакторной аутентификации, при которой на телефон пользователя отправляется пароль - например, из банка - для проверки личности пользователя. Сначала злоумышленник приказал виртуальному помощнику уменьшить громкость динамика до уровня 3. На этом уровне жертва не замечала реакции своего телефона в офисе с умеренным уровнем шума. Затем, когда поступило смоделированное сообщение из банка, атакующее устройство-генератор отправило на телефон команду «читать мои сообщения». Ответ был слышен в микрофон, прикреплённый под столом, но не слышен жертве. Во втором тесте атакующее устройство отправило сообщение «Позвони Трампу с громкой связью», инициировав вызов. Используя микрофон под столом, злоумышленник смог продолжить разговор с «Трампом».
Команда протестировала 17 различных моделей телефонов, включая популярные модели iPhone, Galaxy и Motorola. Все кроме парочки моделей были уязвимы для ультразвуковых волн.
Исследователи также проверили различные поверхности столов и другой мебели и конфигурации моделей телефона. Ультразвуковые волны прошли через металл, стекло и дерево, пытались расположить телефон в разных положениях, меняя ориентацию микрофона, помещали другие предметы (например, пачки бумаги) на стол, пытаясь ослабить силу волн – безуспешно. Даже на расстоянии до 15 метров это работало. Размещение воды на столе, потенциально поглощающее волны, не имело никакого эффекта. Более того, волна атаки может одновременно затронуть даже несколько телефонов одновременно. Единственное, что снизило надежность этого метода это пластиковые столы и поверхности (вангую, что если такой метод хакерства разовьется, возникнет бум на пластиковую мебель со «специальными анти ультразвуковыми свойствами).
Исследователи предложили несколько защитных механизмов, которые могли бы защитить от такой атаки. Одной из идей будет разработка программного обеспечения для телефона, которое анализирует принятый сигнал, чтобы различать ультразвуковые волны и подлинные человеческие голоса. Изменение конструкции мобильных телефонов, например, иное размещение микрофона, для подавления или подавления ультразвуковых волн также может остановить атаку такого рода.
Но есть простейший способ уберечь телефон от воздействия ультразвуковых волн: межслойная защита, которая использует мягкую тканую ткань для увеличения «несоответствия импеданса».
Другими словами, кладите телефон на скатерть или салфетку))