PIXHELL использует шум монитора для кражи данных из изолированных систем

Екатерина Быстрова 10 Сентября 2024 - 17:23

...

PIXHELL использует шум монитора для кражи данных из изолированных систем

Исследователи рассказали о новой атаке по сторонним каналам, получившей имя PIXHELL. В теории злоумышленники могут использовать этот вектор для извлечения конфиденциальной информации из физически изолированных устройств.

В частности, PIXHELL опирается на шум, который так или иначе создают пиксели на мониторе. Израильский специалист Мордехай Гури объясняет принцип вектора в отчёте:

«Предварительно установленная на изолированное устройства вредоносная программа должна генерировать специальные паттерны пикселей, чтобы последние вырабатывали шум в диапазоне частот от 0 до 22 кГц».

«Злонамеренный код задействует создаваемый катушками и конденсаторами звук, чтобы иметь возможность контролировать исходящие от монитора частоты. Эти акустические сигналы могут шифровать и передавать конфиденциальную информацию».

Особенность PIXHELL заключается в отсутствии необходимости использовать специализированное аудиооборудование или внутренние динамики целевого устройства, поскольку основной расчёт идёт на LCD-дисплей.

В сущности, вектор PIXHELL стал возможным благодаря индукторам и конденсаторам, которые участвуют в LCD-дисплях в качестве внутренних компонентов и источника питания.

Из-за них устройство вибрирует на слышимой частоте, так как при прохождении электричества через катушки мы получаем шум на высокой ноте — так называемый свист катушек.

На этот шум влияет число светящихся пикселей и их распределение по экрану (учитывая, что белые пиксели требуют больше энергии, чем тёмные). Кроме того, на характеристики акустического излучения влияют растровое изображение, рисунок и интенсивность пикселей на дисплее.

Вчера мы сообщали о схожем методе атаки — RAMBO (Radiation of Air-gapped Memory Bus for Offense). В этом случае вектор позволяет перехватывать данные непосредственно из оперативной памяти оборудования.

Не так давно Гури рассказывал о ETHERLED — способе кражи данных из физически изолированных систем, превращающем мигающий свет в азбуку Морзе, который может расшифровать потенциальный атакующий.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 20 Ноября 2025 - 20:28

GenAI (генеративный искусственный интеллект) Домашние пользователи

Продажи плюшевых ИИ-мишек приостановлены из-за их сексуальных фантазий

Базирующаяся в Сингапуре компания FoloToy сняла с продажи медвежат Kumma и другие игрушки на основе ИИ после того, как исследователи выявили их склонность к вредным советам и обсуждению сексуальных пристрастий.

Вендор интеллектуальных плюшевых мишек заявил, что проводит аудит безопасности ассортимента, использующего ИИ-технологии.

Набивной плюшевый мишка с интегрированным чат-ботом на основе GPT-4o производства OpenAI продавался по цене $99 и позиционировался как дружелюбный и знающий собеседник, которого оценят и любознательные дети, и их родители.

Как выяснилось, вооруженная ИИ приятная игрушка использует его без должных ограничений. Тестирование показало, что Kumma с готовностью выдают потенциально опасный контент — сведения о нетрадиционном сексе с наглядной графикой, а также советы о том, как зажигать спички и где отыскать в доме ножи.

Получив соответствующее уведомление, OpenAI заблокировала разработчика детских игрушек за нарушение ее политик. Вместе с тем исследователи с сожалением отмечают, что это не единичный случай: производство ИИ-игрушек пока никак не регулируется, а поток их продаж растет.

Удаление одного потенциально опасного продукта с прилавков, по мнению экспертов, не решит проблемы, пока не будет введен систематический контроль.

Стоит заметить, что детские игрушки на основе ИИ, склонного к галлюцинациям, способны нанести еще больший вред, чем некогда модные интерактивные куклы, мягкие зверики и роботы, подключенные к интернету и потому уязвимые к взлому и перехвату персональных данных.