Атака MOSQUITO: протокол скрытной передачи данных между колонками и наушниками в виде ультразвука


    Три сценария для гипотетического секретного канала передачи данных: колонки-колонки, колонки-наушники (без микрофона) и наушники-наушники (без микрофонов)

    Специалисты из научно-исследовательского центра компьютерной безопасности в университете имени Бен-Гуриона за последние годы представили немало креативных способов снятия информации с изолированного компьютера: по морганию светодиода HDD, электромагнитному излучению разъёма USB, шуму кулера GPU и так далее.

    В конце 2016 года они представили программу Speake(a)r, которая незаметно для пользователя превращает его наушники в микрофон. Сейчас специалисты описали атаку MOSQUITO с описанием протокола для обмена данными между колонками и наушниками на разных компьютерах, расположенных на расстоянии до 10 метров.

    На аппаратном уровне микрофон и колонки/наушники работают по схожему принципу. Микрофон преобразует звук в электрические сигналы, а пассивные колонки или наушники осуществляют обратную операцию. В обоих устройствах присутствует маленькая диафрагма, которая колеблется в магнитном поле для генерации/детектирования звуковых волн. Схожее аппаратное устройство позволяет использовать микрофон вместо наушников или наушники вместо микрофона.
    Особенность программы Speake(a)r состоит в том, что она незаметно меняет назначение аудиоразъёма, куда подключены наушники. Вместо аудиовыхода (line out) разъём начинает работать на приём данных (line in).

    Атака MOSQUITO предусматривает, что зловред каким-то образом устанавливается на компьютер, изолированный от внешних каналов передачи данных (air-gapped), а затем передаёт секретную информацию найденную на этом компьютере — локальные файлы — генерируя звук через подключенные колонки или наушники.

    Информация принимается на другом ПК. Предполагается, что этот второй компьютер или принадлежит злоумышленнику, или тоже заражён зловредом, но при этом подключен к интернету, так что может «слить» информацию во внешний мир. Компьютер-приёмник получает аудиосигнал через подключенные колонки или наушники и восстанавливает исходные файлы. Нужно заметить, что активные колонки нельзя использовать в качестве микрофонов. В этом качестве работают только пассивные колонки или обычные наушники.

    Исследователи опубликовали детали протокола передачи данных и испытали его на рсстояниях от 1 до 9 метров. Максимальная скорость передачи составила 1200-1800 бит/с в случае, если колонки двух компьютеров направлены друг на друга, а звук издаётся в слышимом диапазоне (ниже 18 кГц).

    Если же рассматривать более реалистичные сценарии, когда передачу данных требуется скрыть от присутствующих людей, а колонки развёрнуты в разные стороны, то скорость передачи существенно снижается. Проблема в том, что колонки для домашних пользователей часто оптимизируются для более качественного звучания исключительно на средних частотах, которые лучше всего воспринимаются человеческим слухом. Соответственно, в не воспринимаемых человеком сверхнизких и сверхвысоких частотах колонки работают не очень качественно.

    Скорость передачи также снижается, если вместо колонок для передачи звука использовать наушники-вкладыши — от 300 до 600 бит/с, а в случае наголовных микрофонов ещё меньше — до 250 бит/с. Причина в том, что закрытые наушники направляют звук в одном направлении и довольно хорошо изолируют его в остальных, так что успешная передача данных возможно только на очень малом расстоянии.

    В лабораторных условиях на расстоянии 3 метра в диапазоне от 18 кГц до 24 кГц с коэффициентом ошибок не более 1% передача килобайтного файла произведена на скорости 166 бит/с. На расстоянии от 4 до 9 метров с тем же коэффициентом ошибок скорость понижается до 10 бит/с.

    Среди других факторов, которые ограничивают скорость передачи данных, учёные называют окружающие шумы, в том числе музыку и человеческую речь. Но многих помех можно избежать, если передавать информацию в диапазоне выше 18 кГц.


    Исследователи считают, что самый действенный способ защититься от подобной атаки — отключить от компьютера наушники и динамики, но это не всегда возможно.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 14
    • +1
      Исследователи считают, что самый действенный способ защититься от подобной атаки — отключить от компьютера наушники и динамики, но это не всегда возможно.
      Отключат наушники — дросселями свистеть начнёт.
      • 0
        Если принимающие колонки будут активными, фокус не пройдёт.
        • 0
          Мне кажется что тут польщователь сразу услышит подвох, компьютерная аудмосистема не расчитана на частоты выше 20кгц, придется работать в звуковом диаппазоне
          • 0
            Передавайте на 19-20 КГц, их не услышит почти никто.
            • как правило, там нет фильтров среза, просто громкость будет значительно меньше, но излучение будет.
            • 0
              Атака MOSQUITO предусматривает, что зловред каким-то образом устанавливается на компьютер, изолированный от внешних каналов передачи данных (air-gapped), а затем передаёт секретную информацию найденную на этом компьютере — локальные файлы — генерируя звук через подключенные колонки или наушники.


              К компьютеру, изолированному от внешних каналов передачи данных и содержащем секретную информацию кто-то подключит АС или наушники?
              При таком организационном бардаке гораздо проще будет использовать обычные средства негласного съема информации.

              image

              • 0
                Там уже есть PC Speaker.
                • 0
                  Там уже есть PC Speaker


                  Мне давно не попадался сей девайс на новых МВ.
              • 0
                Особенность программы Speake(a)r состоит в том, что она незаметно меняет назначение аудиоразъёма, куда подключены наушники. Вместо аудиовыхода (line out) разъём начинает работать на приём данных (line in).
                Что в общем случае невозможно, т.к. требуется взаимодействие с аудиодрайвером, коих дофига, из которых не каждый ещё умеет переключать назначение разъёма. Realtek какой-нибудь разве что, как самый популярный, юзать, но не очень понятно, зачем нужен такой канал между уже заражёнными машинами, когда у пользователей порой можно встретить незащищённые гигабитные каналы в интернет.
                • 0
                  Ну написано же, чтобы слить информацию с машины, у которой нет доступа в интернет, на машину с доступом.
                  • 0
                    При условии того, что обе машины уже заражены, а вторая, с интернетом, находится в радиусе слышимости. Очень узкая ниша.
                    • 0

                      Если протокол односторонний, то выходной сигнал можно вполне на диктофон записать, а потом уже в спокойной обстановке проанализировать.

                      • +1

                        Тогда уж лучше просто с экрана всё сфотографировать, раз можно выносить диктофоны и телефоны, гораздо быстрее скорость передачи.
                        Очень странная ниша у этой "атаки"

                • 0
                  Вектор атаки вполне осмысленный (например, атака на cold storage, атака на air-gapped CA и т.д.), но весь вопрос состоит в том, что кто ж включает в air-gapped компьютер пассивные колонки или наушники?

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое