Специалист в области кибербезопасности Сэмюэл Уилер, который сотрудничает с MIT CSAIL и W3C Privacy Interest Group, снова поднял вопрос скрытых угроз со стороны Web Audio API, предназначенного для управления аудиоконтентом прямо в браузере. Он считает, что злоумышленники могут использовать API для несанкционированной передачи ультразвука.
По мнению Уилера, Web Audio API может передавать с компьютера жертвы звуковые сигналы, которые не способен распознавать человек. Между тем эти аудиосигналы можно использовать для снятия цифрового отпечатка устройства. По мнению эксперта, интерфейс Web Audio API нужно ограничить, чтобы его нельзя было использовать для генерации или прослушивания ультразвуковых сигналов без разрешения. Он предположил, что пользователям может быть явно предложено включить использование API Web Audio.
Опасения Уилера разделяет и Питер Снайдер, исследователь конфиденциальности в Brave software и сопредседатель PING. По его словам, подобные методы можно применять «для междоменного отслеживания; сайты могут передавать ультразвук другим открытым страницам, что позволит осуществлять межсайтовое отслеживание, от которого Brave и другие браузеры, ориентированные на конфиденциальность, пытаются защитить пользователей». В Brave уже добавили рандомизацию в различные API-интерфейсы Web Audio, чтобы уменьшить вероятность снятия цифрового отпечатка в браузере.
Межде тем разработчик Google Реймонд Той уверен, что можно позволить специалистам работать исключительно с одной частотой дискретизации.
Некоторые разработчики же полагают, что ограничение доступной частоты может спровоцировать сдвиг фаз или задержку, и что нет разумного нижнего или верхнего порога, подходящего для всех.
На эту проблему передачи звука ИБ-специалисты обращали внимание уже неоднократно.
Люди способны слышать звуковые частоты в диапазоне от 20 Гц до 20 000 Гц, хотя индивидуальные диапазоны различаются. Звуковые частоты ниже и выше порога человеческого слуха известны как инфразвук и ультразвук. Несколько лет назад компании, занимающиеся цифровой рекламой, начали использовать ультразвуковые сигналы для отслеживания интересов людей на разных устройствах. Если, к примеру, телевизионная реклама испускает скрытый неслышимый сигнал, находящийся рядом с телевизором смартфон может принять его и передать в приложение, которое обновляет информацию о таргетируемом владельце устройства данными его просмотров.
Американская торговая инспекция в 2016 году предупредила о недопустимости такого отслеживания. Позднее вышло исследование, которое подтвердило, что 234 приложения для Android скрытно прослушивали ультразвуковые маяки. Подобное скрытое отслеживание запретили.
Но и сегодня исследователи компьютерной безопасности продолжают находить новые способы использования ультразвука для эксфильтрации данных. Его применяют и для законных операций — например, приложение Google Cast использует ультразвуковой токен при сопряжении с соседним Chromecast.
См. также: