Ученые создали PoC-устройство для выявления прослушки через микрофон

Ученые создали PoC-устройство для выявления прослушки через микрофон

Ученые создали PoC-устройство для выявления прослушки через микрофон

Университетские исследователи из Сингапура и Южной Кореи разработали новую систему, способную определить скрытное включение микрофона по специфичному электромагнитному излучению. В ходе тестирования устройство, нареченное TickTock, успешно отработало на 27 ноутбуках из популярных 30, отказав на продуктах Apple.

Проект был запущен в ответ на рост количества атак, нацеленных на удаленную слежку за пользователями. Веб-камеру в таких случаях можно заклеить пластырем или изолентой, а избавиться от прослушки через микрофон не так-то просто.

Прототип TickTock (PDF) состоит из датчика ближнего звукового поля, РЧ-усилителя, программно-определяемой радиосистемы (SDR) и микрокомпьютера Raspberry Pi 4 Model B. Метод пассивного определения статуса микрофона полагается на тот факт, что при его включении кабели и разъемы, по которым тактовые сигналы передаются на АЦП, начинают фонить; эту слабую утечку можно выловить.

 

При создании системы исследователям пришлось преодолеть несколько препятствий:

  • тактовая частота микрофонов различна и зависит от используемого аудиокодека;
  • места, пригодные для подключения (с сильнейшей утечкой), в ноутбуках неодинаковы;
  • захваченные ЭМ-сигналы включают шум от других цепей, и его нужно отфильтровать во избежание ложноположительных срабатываний.

В итоге метод TickTock оказался действенным: тестирование показало, что его можно использовать на 90% ноутов, вошедших в контрольную выборку, в том числе на популярных продуктах Lenovo, Dell, HP и Asus. Исключение составили три модели MacBook — по всей видимости, ЭМ-шум подавляли алюминиевый корпус и короткие гибкие кабели.

Меньше успеха принесло испытание TickTock на смартфонах, планшетах, умных колонках и USB-камерах. Пригодным для подобной защиты оказалось 21 из 40 устройств. Экспериментаторы считают, что причиной могло являться использование аналогового микрофона (а не цифрового), отсутствие ограничений по мощности либо короткая длина проводников.

Систему, совместно разработанную азиатскими учеными, можно реализовать как съемное USB-устройство (наподобие флешки). В дальнейшем возможности TickTock планируется расширить, и она научится выявлять несанкционированный доступ к другим средствам мониторинга — камерам, измерительным блокам на гироскопах.

Напомним, для защиты смартфонов от нежелательной прослушки недавно был предложен принципиально другой подход — зашумление речи на основе предиктивного анализа. Производители портативных устройств также сами иногда принимают подобные меры повышения приватности. Так, Apple решила эту проблему на MacBook и iPad аппаратно: микрофон автоматически выключается при закрытии крышки ноутбука или чехла с пометкой MFi (Made for iPad). Компания Dell с той же целью стала добавлять специальные драйверы в Linux, а пользователям Windows 10 и macOS (с выходом Monterey) доступна визуальная индикация активности микрофона.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru