Группа исследователей из Сингапура и Южной Кореи разработала устройство TickTock на базе Raspberry Pi 4В (RPi 4B) для определения скрытого включения микрофона на ноутбуке. Устройство улавливает специфическое для микрофона электромагнитное ��злучение, появляющееся только во время включения записи, и по его наличию определяет активацию микрофона. TickTock хорошо себя показало в тестировании на 27 из 30 моделях, уступив только Mac Pro 2014 15”, 2017 13” и 2019 16”.
Как указано в исследовании авторов, ноутбуки обычно содержат в себе цифровые MEMS-микрофоны, преобразующие акустическое давление звуковых волн в цифровой сигнал. В таких микрофонах тактовые сигналы функционируют как управляющий сигнал, который может переключать микрофон между несколькими режимами питания. В частности, как указывают исследователи, когда тактовый сигнал находится в диапазоне частот 1-4,8 МГц, микрофон переходит в активный режим, где ему требуется ток около 0,5 мА. Это значит, что запись ведётся. При частоте ниже 250 кГц микрофон переходит в спящий режим, чтобы снизить энергопотребление. В этой работе авторы определяют разницу в тактовой частоте между активным и спящим режимом по характеристикам электромагнитного излучения.
Установка состоит из тестового устройства (на картинке ниже это Dell Latitude E5570), электрических (E) и магнитных (H) датчиков ближнего поля, усилителя сигнала 27 дБ, SDR-приёмника RSP-1A и RPi 4B с GNU Radio Companion. Датчики ближнего поля, расположенные в непосредственной близости от микрофона, фиксируют изменения, вызванные тактовыми сигналами. RSP-1A захватывает и оцифровывает сигналы в интересующем диапазоне. RPi 4B выполняет обработку сигналов.
В случае с ноутбуком Dell Latitude E5570 показатель тактовой частоты в 2,048 МГц и нечётная гармоника свидетельствуют о включенном микрофоне.
В общем TickTock тестировался на 30 ноутбуках популярных брендов, включая Lenovo, Dell, HP и Apple, выпущенных за последние 10 лет. На 27 устройствах тестирование прошло успешно. В случаях с Mac Pro 2014 15” и 2019 16” авторы не смогли уловить сигнал из-за алюминиевого корпуса и коротких кабелей, с помощью которых микрофоны Mac Pro подключены к материнской плате. Исследователи полагают, что это сочетание приводит к критическому ослаблению сигнала. У Mac Pro 2017 13” оказались неоднозначные показатели, и авторы не уверены, что они достоверны.
В последующих работах авторы планируют разработать аналогичные датчики для определения скрытого запуска камеры и IMU-сенсоров. Также в рамках исследования они пытались приспособить TickTock к другим устройствам (смартфоны, планшеты и т.п.), но только в 21 из 40 случаев тестирование оказалось успешным. В первую очередь это связано с использованием на устройствах аналоговых микрофонов вместо цифровых, а также типом проводников и схем подключения.
Подробности работы опубликованы в открытом доступе в статье TickTock: Detecting Microphone Status in Laptops Leveraging Electromagnetic Leakage of Clock Signals на arXiV.
