Φαίνεται πως το ποντίκι του υπολογιστή σου μπορεί να κάνει πολύ περισσότερα από το να μετακινεί τον κέρσορα στην οθόνη. Ερευνητές του Πανεπιστημίου της Καλιφόρνια στο Irvine ανακάλυψαν ότι, με τη σωστή εκμετάλλευση των αισθητήρων του, ένα απλό οπτικό ποντίκι μπορεί να μετατραπεί σε έναν αυτοσχέδιο μικρόφωνο. Η μέθοδος, που φέρει την ονομασία «Mic-E-Mouse», επιτρέπει την ανάγνωση ηχητικών δονήσεων από τη φωνή του χρήστη και τη μετατροπή τους σε κατανοητό λόγο – ανοίγοντας έναν εντελώς νέο δρόμο για τις ψηφιακές επιθέσεις.
Η ομάδα των ερευνητών απέδειξε ότι τα οπτικά ποντίκια με αισθητήρες ανάλυσης 20.000 DPI και χαμηλό latency μπορούν να «ακούσουν» τις δονήσεις που προκαλεί η ομιλία, ακόμα κι αν δεν διαθέτουν μικρόφωνο. Χρησιμοποιώντας ένα ποντίκι αξίας μόλις 35 δολαρίων, κατάφεραν να αναγνωρίσουν ανθρώπινη ομιλία με ποσοστό ακρίβειας έως και 61%, ανάλογα με τη συχνότητα της φωνής. Με άλλα λόγια, το ποντίκι που χρησιμοποιούμε καθημερινά για την πλοήγηση στον υπολογιστή μας, υπό προϋποθέσεις, να μετατραπεί σε εργαλείο παρακολούθησης.
Όπως εξήγησε ο Mohamad Fakih, «οι δύο κύριες παράμετροι που εξετάζουμε είναι ο ρυθμός δειγματοληψίας και το DPI του ποντικιού». Οι παράμετροι αυτές καθορίζουν το πόσο ευαίσθητο είναι το ποντίκι σε μικροσκοπικές δονήσεις. «Δεν περιορίζεται μόνο στην ανίχνευση φωνής. Αν κάποιος κινείται μέσα στο δωμάτιο, τα βήματά του δημιουργούν δονήσεις που επίσης μπορούν να καταγραφούν».
Η επίθεση, φυσικά, δεν γίνεται από μόνη της. Ο επιτιθέμενος πρέπει πρώτα να έχει μολύνει τον υπολογιστή του θύματος με κακόβουλο λογισμικό. Ωστόσο, δεν απαιτείται ιδιαίτερα εξελιγμένο malware – και αυτό γιατί τα προγράμματα ασφαλείας συνήθως δεν δίνουν την ίδια προσοχή στα δεδομένα του ποντικιού όπως στα βασικά στοιχεία του συστήματος. Έτσι, οι χάκερ μπορούν πιο εύκολα να υποκλέψουν τα δεδομένα που καταγράφει το ποντίκι, μέσω μιας κακόβουλης εφαρμογής που ενδέχεται να παρουσιαστεί ως ανοιχτού κώδικα ή αθώο εργαλείο.
Μόλις τα δεδομένα συλλεχθούν, οι ερευνητές τα περνούν μέσα από ένα φίλτρο Wiener για την απομάκρυνση του θορύβου και στη συνέχεια τα τροφοδοτούν σε ένα νευρωνικό δίκτυο τύπου transformer, ικανό να αναγνωρίζει μοτίβα ομιλίας. Η τεχνολογία αυτή αποδείχθηκε ιδιαίτερα αποτελεσματική στην αναγνώριση αριθμών – κάτι που μπορεί να αποδειχθεί εξαιρετικά ανησυχητικό, ιδίως αν κάποιος προφέρει φωναχτά τον αριθμό της πιστωτικής του κάρτας ή προσωπικά του στοιχεία.
Παρόλα αυτά, η τεχνική δεν είναι αλάνθαστη. Για να επιτευχθεί η βέλτιστη λήψη, το ποντίκι πρέπει να τοποθετηθεί πάνω σε μια σταθερή, σκληρή και καθαρή επιφάνεια. Τα mouse pads ή τα καλύμματα γραφείου περιορίζουν την ικανότητά του να ανιχνεύει τις μικρές δονήσεις, ενώ οι θόρυβοι από κοντινά μηχανήματα ή ομιλίες σε ένα πολυσύχναστο γραφείο μπορούν να «μπερδέψουν» το σύστημα. Παρ’ όλα αυτά, η ιδέα ότι μια τόσο απλή συσκευή μπορεί να χρησιμοποιηθεί για κατασκοπεία είναι από μόνη της ανησυχητική.
Οι ερευνητές, ακολουθώντας τους κανόνες υπεύθυνης δημοσιοποίησης, ενημέρωσαν 26 κατασκευαστές ποντικιών για την ευπάθεια, προκειμένου να αναπτύξουν μηχανισμούς ασφαλείας που θα προστατεύουν τα δεδομένα των αισθητήρων. Παράλληλα, εργάζονται πάνω σε προτάσεις λογισμικού που θα μειώνουν τον κίνδυνο εκμετάλλευσης, χωρίς να επηρεάζουν την απόδοση του ποντικιού.
Ο Fakih πρόσθεσε ότι η ίδια τεχνική θα μπορούσε θεωρητικά να ανιχνεύει ακόμη και πληκτρολογήσεις. Επειδή κάθε πλήκτρο παράγει διαφορετική δόνηση και ήχο, το ποντίκι ενδέχεται να «καταλαβαίνει» τι πληκτρολογεί κάποιος, εφόσον οι κινήσεις του χεριού δεν επικαλύπτουν πλήρως το σήμα. «Αν εφαρμοστεί ένα φίλτρο χαμηλών συχνοτήτων, μπορεί να υπάρξει κάποια απώλεια ποιότητας, αλλά πιθανότατα θα μπορούσε να ανακτηθεί ένα μέρος των δεδομένων», σημείωσε.
Η ομάδα του UC Irvine έχει αφιερώσει πάνω από δέκα χρόνια στη μελέτη των λεγόμενων side-channel επιθέσεων, δηλαδή των μεθόδων που εκμεταλλεύονται δευτερεύοντα σήματα για τη συλλογή πληροφοριών. Η έρευνα γύρω από το Mic-E-Mouse χρειάστηκε περισσότερα από δυόμισι χρόνια για να φτάσει στο σημερινό της επίπεδο ακρίβειας. Το επόμενο βήμα για τους επιστήμονες είναι να εξετάσουν αν οι αισθητήρες άλλων συσκευών, όπως οι εμπορικά διαθέσιμες κάμερες ή ακόμη και τα drones, μπορούν να χρησιμοποιηθούν με παρόμοιο τρόπο για την εξαγωγή ήχων και φωνών.
[via]
