`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Виталий Кобальчинский

Ультразвук — бесшумный взломщик

+22
голоса

Новые возможности отслеживания пользователя с различных устройств, взлома защиты и атак на приватность, предоставляемые ультразвуковыми технологиями, стали предметом исследования Василиоса Мавродиса (Vasilios Mavroudis) и его коллег по Лондонскому Университетскому Колледжу. Своими тревожными выводами они поделятся на этой неделе с участниками конференции по кибербезопасности, Black Hat в Лондоне.

Сегодня такие технологии используются в основном рекламщиками, для идентификации и отслеживания людей, подобно кроссплатформенным куки. Высокочастотные маячки внедряются в рекламные ролики для телевизора или в объявления на веб-сайтах. Эти звуки, неслышимые человеческим ухом, могут регистрироваться любым находящимся поблизости устройством с микрофоном и активировать в нем некоторые функции. Некоторые приложения для шоппинга, например, Shopkick, используют их, чтобы настраивать контекст рекламы и промоций для телефонов покупателей, находящихся в определённых отделах магазина.

«Для этого не нужна какая-то особая технология. Если вы в супермаркете, все, что требуется это обычные спикеры», — утверждает Мавродис.

В марте, Федеральная комиссия США по торговле (FTC) подвергла (весьма условному, впрочем) наказанию 12 разработчиков мобильного ПО, которые применяли ультразвук для отслеживания одних устройств с помощью других. Их приложения могли собирать информацию о пользователях даже в неактивном состоянии и без их ведома. FTC оперативно блокировала дальнейшее распространение этого кода (Silverpush), но сама проблема уязвимости к ультразвуку остаётся и имеет много других граней риска.

Ультразвуковые маяки можно имитировать и использовать эти фальшивые копии для рассылки невостребованных или вредоносных сообщений на устройства. Команда Мавродиса обнаружила свидетельства того, что этот способ уже применяют для увеличения количества накопленных бонусных пунктов в шоппинговых приложениях.

Сегодня такие уязвимости затрагивают немного людей, однако исследователи предупреждают, что все может быстро измениться. Простота ультразвуковых технологий делает их привлекательными для использования в приложениях для Интернета Вещей (IoT) — в этом случае сопутствующие угрозы приобретут массовый масштаб.

Компания Google уже сейчас связывает ультразвуком мобильные телефоны с модулем Chromecast. Этот же канал подходит и для хакерских атак. Ультразвук позволяет передавать немного данных, но иногда для взлома и перепрограммирования достаточно всего нескольких байт кода. До тех пор пока ультразвук остаётся нишевым приложением, считает Мавродис, есть еще время для выработки норм, регулирующих его использование. «Ультразуковые маяки ещё не имеют спецификаций. Нет (унифицированных) правил построения или соединения таких устройств. Это своего рода «серая зона», за которую никто не желает взять на себя ответственность», — пишет он.

На создание стандартов, аналогичных тем, что приняты для Bluetooth, потребуется время, и в качестве одного из промежуточных решений авторы уже разработали браузерное расширение для Chrome, которое «глушит» маяки, внедрённые в веб-страницы. Они также предлагают патч для Android, в списке разрешений для микрофона разделяющий регистрацию слышимых звуков и прием сигналов от УЗ-маяков.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT