研究人员发现,一种新型数据泄露技术可以利用隐蔽超声通道将敏感信息从孤立的气隙计算机泄漏到附近的智能手机,不要'甚至不需要手机的麦克风来接收声波。以色列内盖夫本古里安大学网络安全研究中心研发负责人MordechaiGuri博士利用声学、电磁学、光学和热学原理设计了大量的攻击方法(参见https://cyber.bgu.ac.il/advanced-cyber/airgap),这个名为GAIROSCOPE的对抗模型是最近添加的。在Guri《GAIROSCOPE:将数据从气隙计算机注入到邻近的陀螺仪》博士本周发表的一篇新论文中(https://arxiv.org/pdf/2208.09764.pdf),他表明实验中使用的恶意软件会在共振频率下产生超声波乐器。这些听不见的频率在智能手机的陀螺仪内部产生微小的机械振荡,可以将其解调为二进制信息。气隙被视为一种基本的安全对策,特别是隔离计算机或网络,阻止其建立外部连接,有效地在数字资产和寻求提供间谍攻击途径的威胁行为者之间制造差距。一道不可逾越的屏障在他们之间建立起来。与针对气隙网络的其他攻击一样,GAIROSCOPE也没有什么不同,因为它依赖于攻击者能够通过受感染的U盘、水坑或供应链威胁等方式传播恶意软件,以达到访问环境的目的。这一次的新颖之处在于,它还需要使用流氓应用程序感染在受攻击组织工作的员工的智能手机,该流氓应用程序本身是通过社会工程技巧、恶意广告或受感染的网站加以利用的。植入方式。在此攻击链的下一阶段,攻击者使用已建立的立足点收集敏感数据(即加密密钥和凭据等),对信息进行编码,然后通过手机扬声器以隐蔽声波的形式广播信息。附近的受感染智能手机随后可以检测到传输的信息并通过手机内置的陀螺仪传感器侦听信息,之后数据被解调、解码并通过Wi-Fi通过互联网传输给攻击者。这种攻击是可能的,因为一种称为超声波损坏的现象会影响MEMS陀螺仪的共振频率。Guri博士解释说,这种听不见的声音在陀螺仪附近播放时会在信号输出中产生内部干扰。信号输出错误可用于编码和解码信息。测试结果表明,隐蔽信道可以在0~600厘米的距离内以每秒1~8比特的速率传输数据,发射机在狭窄的房间内可以达到800厘米的传输距离。如果员工将手机靠近办公桌上的工作站,则此方法可用于交换数据,包括短文本、加密密钥、密码或击键。这种数据泄露方法值得注意,因为它不需要接收方智能手机(实验中使用的是OnePlus7、三星GalaxyS9和三星GalaxyS10)上的恶意应用程序来访问麦克风,从而欺骗用户进入无线访问麦克风。在没有怀疑的情况下允许访问。从攻击者的角度来看,从扬声器到陀螺仪的隐蔽通道也是有利的。当应用程序使用陀螺仪(例如访问位置或麦克风)时,不仅在Android和iOS上没有视觉提示,还可以通过标准JavaScript从HTML访问传感器。这也意味着犯罪分子无需安装应用程序即可达到预期目的。相反,他们可以在合法网站上注入带有后门的JavaScript代码、采样陀螺仪、接收隐藏信号并通过Internet泄露信息。应对GAIROSCOPE要求组织实施隔离政策,使智能手机与安全区域至少保持800厘米或更远的距离,从端点移除扬声器和音频驱动程序,使用防火墙SilverDog和SoniControl过滤超声波信号,并添加背景噪音以干扰隐蔽渠道。这项研究是在Guri博士展示SATAn一个月后进行的,SATAn是一种充分利用串行高级技术附件(SATA)电缆、跳过气隙并提取信息的机制。本文翻译自:https://thehackernews.com/2022/08/new-air-gap-attack-uses-mems-gyroscope.html如有转载请注明原文地址。
