Hack Hack раскрывает риск безопасности звонков на смартфонах

Производители смартфонов слушают;Приложение, созданное академическими исследователями, показало, как безопасность вызовов может быть скомпрометирована в трех областях.: Техас A & amp; M Engineering

Программа исследователей, называемая earspy, использовала алгоритмы машинного обучения для фильтрации удивительного количества информации о вызывающем абоненте из данных вибрации динамиков, записанных собственными датчиками движения смартфона Android, и сделали это без преодоления каких -либо гарантий или необходимости разрешений на пользователя.

«Стандартная атака на мобильный телефон выявляет микрофон и записывает голоса», - сказал Ахмед Танвир Махдад, докторант, учащийся в Департаменте компьютерных наук и техники в Техасе A & M.«Мы записываем данные датчика движения, которые не связаны напрямую с речью, и обнаруживаем информацию абонента в атаке по боковым каналам».

Махдад был основным автором «Earspy: Speing Spearing Shight and Identity через крошечные вибрации динамиков ушей смартфона», опубликованной в декабре 2022 года на сервере Arxiv, который объяснил результаты проекта.

Динамики ушей на вершине смартфонов традиционно небольшие и производят низко звуковые давления во время разговоров.Эти вибрации улучшают ясность, когда телефон прижимается к уху пользователя.

Динамики не считаются хорошим источником для слышимого подслушивания из -за их размера и того, как они функционируют.Тем не менее, некоторые производители заменяют эти небольшие динамики более крупными, чтобы создать стерео звуки, необходимые для видео и потоковой передачи, без учета того, сколько данных вибрации излучают более крупные динамики уха.Поскольку смартфоны оснащены датчиками движения, называемыми акселерометрами для записи упражнений и местоположений пользователей и мест отслеживания данных вибрации, это привело к ситуации, когда вибрации динамиков также могут быть записаны и потенциально скомпрометированы.

Исследователи выбрали два недавних смартфона, похожих по дизайну, использовали операционные системы Android и имели мощные динамики для ушей.Они сыграли записанные голоса только через динамики уха на громкости, удобном для слушания пользователя.Затем исследователи использовали Earspy для анализа данных акселерометров телефонов.

Они обнаружили, что Earspy может определить, был ли динамик повторным вызывающим абонент с точностью 91,6% и определить пол динамика с точностью 98,6%.Удолошительное ПО также распознала разговорные цифры, в частности, числа от нуля до девяти, с точностью 56%, что в пять раз выше, чем случайное предположение.

«Скажем, вы разговариваете с поставщиком медицинских услуг или агентом по обслуживанию клиентов, и они попросили вас предоставить вашу идентификацию или номера кредитных карт», - сказал Махдад.«Если вредоносное ПО на вашем телефоне было на вашем телефоне, злоумышленник мог бы получить доступ к данным акселерометра вашего телефона и извлечь ее из вашего телефона через подключение к Интернету для обработки, чтобы они могли извлечь эту информацию».

Исследование было сосредоточено на смартфонах Android, потому что данные датчика движения могут быть извлечены из них без какого -либо явного разрешения от пользователя.

Предыдущие исследования показали, что было трудно извлечь речевые функции из данных акселерометра, вызванных крошечными динамиками уха на старых смартфонах Android.Два новых телефона, которые выбрали исследователи, имели более крупные докладчики, которые постепенно давали больше информации;Алгоритм может обнаружить 45–90% областей слова из их данных акселерометра для дальнейшего анализа.Исследователи пришли к выводу, что перемещение акселерометра в другое место в телефоне может уменьшить количество записанных данных, но это не остановит записи полностью.

Будущие тесты на другие телефоны могут быть оправданы, поскольку результаты показали, что все производители смартфонов должны знать о рисках безопасности.

Махдад отметил, что взлом может произойти только в том случае, если злоумышленник скрыл вредоносное ПО в приложении, которое пользователь загрузил.

«Любое доброкачественное приложение с вредоносным программным обеспечением может извлечь эту информацию, но только если пользователь одобрит приложение»,-сказал Махдад.«После установки он может работать в фоновом режиме, не уведомляя пользователя».

Больше информации: Ахмед Танвир Махдад и др., Earspy: Spearing Caller Shelce and Identity через крошечные вибрации динамиков ушей смартфона, Arxiv (2022).Doi: 10.48550/arxiv.2212.12151