A comunidade de segurança relatou que uma nova tática maliciosa foi desenvolvida chamada Synesthesia Side Channel Attack. As informações disponíveis mostram que sinais acústicos inaudíveis podem ser decifrados para revelar conteúdo sensível do usuário. Vários cenários de ataque são propostos, pois este é apenas outro ataque de canal lateral que pode ser explorado por criminosos.
Ataque de canal lateral de sinestesia permite que hackers “Ouvir” Imagens na tela
Um grupo de pesquisadores da Universidade de Columbia, a Universidade de Michigan, A Universidade da Pensilvânia e a Universidade de Tel Aviv revelam um novo ataque de canal lateral chamado “Sinestesia”.A abordagem perigosa baseia-se no fato de que gravou ruídos acústicos inaudíveis vindos do computador (dispositivo) as telas podem ser decifradas para ler o conteúdo exibido. A descoberta mostra que há uma ampla gama de possibilidades para adquirir as informações solicitadas – por meio de microfones de smartphones, webcams, microfones de laptop, equipamento portátil e etc.
Existem vários cenários de ataque que são inicialmente propostos:
- Vigilância do Empregador — A equipe de RH e os empregadores podem usar isso “silencioso” técnica para visualizar o conteúdo que os funcionários visualizam em seus computadores. Isso substitui as abordagens tradicionais, como a instalação de ferramentas de área de trabalho remota.
- Roubo de dados — Atacantes que usam vários equipamentos de gravação podem espionar um ou vários usuários decifrando as amostras adquiridas.
- Transmissão de dados — As gravações de amostras de áudio coletadas podem ser gravadas por um usuário mal-intencionado e transmitidas a um hacker que as processará.
A natureza exata dos sinais é que eles são quase inaudíveis ao ouvido humano - eles são muito fracos e particularmente agudos que não podem ser decifrados usando a tecnologia de reconhecimento natural. No entanto, durante a medição instrumental cuidadosa, descobriu-se que o conteúdo exibido padrões particulares ao mostrar determinado conteúdo. Em suma, um modelo de ataque pode ser estabelecido com base em como as telas contemporâneas funcionam — cada pixel exibido é dividido em uma região de cor (vermelho, verde ou azul). Efetivamente, cada cor pode ser representada usando inteiros de 24 bits.
Outras variáveis como a taxa de atualização da tela que são importantes também podem ser gravadas. A mudança de estado dos displays emite um sinal acústico único. Uma engenharia reversa das amostras gravadas pode permitir que usuários mal-intencionados recriem as ações na tela. Testes foram conduzidos em ambiente de produção mostrando como um ataque prático de canal lateral de sinestesia pode ser feito. Um dispositivo de gravação foi colocado perto de uma tela para capturar o vazamento de tela. Sua análise revela que o conteúdo exibido pode ser efetivamente reconstruído pelos hackers.
Além dos ataques manuais, os hackers também podem usar assistentes de voz como Google Home e Amazon Alexa. Sua capacidade de gravação sempre ativa pode ser abusada, pois eles devem ouvir o ambiente do cliente e processá-los nos servidores em nuvem do serviço. Um usuário mal-intencionado pode recuperar a transferência de arquivos e usar os dados capturados para executar o ataque de canal lateral da Synesthesia. O aprendizado de máquina também pode ser implementado em abordagens mais complexas, permitindo que criminosos coletem dados de muitos usuários de uma só vez de maneira automatizada.
Para mais informações, os leitores interessados podem diretamente leia o jornal on-line.