Balázs Richárd
Új hacker támadási felületet jelenthet az ultrahang
Bizonyára Önnel is megtörtént már, hogy miután egy webshopban böngészgetett, az alaposabban szemügyre vett termékek még napokon át felbukkantak a különböző egyéb oldalak reklámfelületein.
Mi történik, ha ezek a reklámok átugranak a böngészőből és más eszközökön is nyomon követnek minket, hiszen ma már az IoT, az eszközök intelligens hálózatba kapcsolásának világában élünk. Mindehhez a kulcs az ultrahang lehet, tette hozzá Vasilios Mavroudis, a University College London kiberbiztonsági kutatója, ami egyben teljesen új hackelési támadásokat tesz lehetővé, mellyel beléphetnek a magánszféránkba.
Eddig az ultrahangos technológiát egyfajta készüléken keresztüli sütiként (cookie) használták a reklámozók és hirdetők a célközönségük azonosítására és nyomon követésére, magas frekvenciás audio "jeladóként" beágyazva a televíziós vagy internetes hirdetésekbe. Ezek az emberi fül számára nem hallható hangok bármilyen eszközt képesek megtalálni, ami rendelkezik mikrofonnal, és adott funkciókat aktiválnak az adott eszközön.
A szóban forgó technológiának sok más alkalmazása is van. Egyes vásárlást jutalmazó applikációk, mint a Shopkick lehetővé teszik, hogy a kereskedők áruházaik részlegei, vagy akár a részlegeken belül a sorok kínálatából villantsanak fel ajánlatokat a vásárlók mobileszközein. "Ehhez nem kell semmilyen speciális technológia, ha egy áruházat üzemeltetsz, elég hozzá egy áruházi hangszóró" - mondta Mavroudis.
Az Egyesült Államokban nem kellett túl sok, hogy mindezt a magánszféra megsértésének kockázataként értékeljék. Márciusban a Szövetségi Kereskedelmi Bizottság (FTC) 12 ultrahangos alkalmazásfejlesztő körmére koppintott. A vád: az alkalmazások akkor is lehetővé tették az eszközökön keresztüli nyomon követést, amikor az alkalmazások be sem voltak kapcsolva. Ez azt jelenti, hogy az alkalmazások úgy gyűjthetnek információt felhasználóikról, hogy azok nem is tudnak róla.
A fejlesztők gyorsan módosították alkalmazásaikat, az FTC szóvivője szerint azonban a hatóság figyelme a jövőben sem fog lankadni és továbbra is árgus szemekkel követi az eszközökön keresztüli nyomkövetési technikákat.
Ez azonban csak egy a problémák közül, melyeket Mavroudis és munkatársai felfedeztek az ultrahang alapú technológiák sérülékenységeinek vizsgálata során. A másik fő aggály, hogy ezek a szoftverek nem csak az ultrahangot képesek figyelni. "Bármely alkalmazás, ami ultrahangot akar használni, hozzáfér a mikrofonhoz" - magyarázta Mavroudis, vagyis elméletileg ugyanaz az alkalmazás a beszélgetéseinkbe is belehallgathat.
Emellett az ultrahangos audio jeladók imitálhatók is, azaz a hackerek létrehozhatnak olyan hirdetési felületnek tűnő jeladókat, amik valójában nemkívánatos, vagy ártalmas üzeneteket juttatnak el az eszközeinkre. Mavroudis hangsúlyozta, hogy ezek a sebezhetőségek még nincsenek hatással az emberekre, azonban magának az ultrahangnak az egyszerűsége vonzó lesz az IoT (Internet of Things) alkalmazások számára.
Minél több IoT eszköz kapcsolódik egymáshoz, annál leterheltebbé válnak az otthoni Wi-Fi csatornák és elkerülhetetlenné válik a továbblépés. Az ultrahang tökéletes jelölt a célra, nem kell hozzá más, csak egy hangszóró és egy mikrofon. A Google Chromecast médialejátszója már az ultrahangot alkalmazza az eszköz és a mobiltelefonok párosításához.
Tény, hogy az ultrahang nem alkalmas nagy adatmennyiségek átvitelére. "Ha viszont tudod, mit csinálsz, akkor néhány bájt küldésével is feltörhető és utasítható egy rendszer. Nem kell mindig sok adat, hogy valami rosszat tegyünk" - figyelmeztet dr. Mu, a brit Northampton Egyetem tanára.
Mielőtt az ultrahang bekerül az általánosan alkalmazott IoT technológiák körébe, ki kell dolgozni a szabályozásait és kellő biztonsággal kell felvértezni. "Az ultrahangos jeladóknak még nincsenek specifikációi, nincs szabály a megépítésükre, vagy a kapcsolódásukra. Ez egyfajta szürke terület, ahol senki sem akarja felvállalni a felelősséget"
A területet kutatók hasonló szabványokat szeretnének elérni, mint amik a Bluetooth esetében is léteznek. Ez azonban el fog tartani egy ideig, ezért időközben több ellenintézkedést is kifejlesztettek. Az egyik egy ultrahangszűrő böngésző kiterjesztés a Google Chrome-hoz, ami blokkolja a weboldalakba ágyazott jeladókat, valamint elkészítettek egy Android patch-et is, ami lehetővé teszi a felhasználóknak, hogy eldöntsék a mikrofon az ultrahang tartományok túl a normál hangtartományt is felvegye, vagy sem.
Mi történik, ha ezek a reklámok átugranak a böngészőből és más eszközökön is nyomon követnek minket, hiszen ma már az IoT, az eszközök intelligens hálózatba kapcsolásának világában élünk. Mindehhez a kulcs az ultrahang lehet, tette hozzá Vasilios Mavroudis, a University College London kiberbiztonsági kutatója, ami egyben teljesen új hackelési támadásokat tesz lehetővé, mellyel beléphetnek a magánszféránkba.
Eddig az ultrahangos technológiát egyfajta készüléken keresztüli sütiként (cookie) használták a reklámozók és hirdetők a célközönségük azonosítására és nyomon követésére, magas frekvenciás audio "jeladóként" beágyazva a televíziós vagy internetes hirdetésekbe. Ezek az emberi fül számára nem hallható hangok bármilyen eszközt képesek megtalálni, ami rendelkezik mikrofonnal, és adott funkciókat aktiválnak az adott eszközön.
A szóban forgó technológiának sok más alkalmazása is van. Egyes vásárlást jutalmazó applikációk, mint a Shopkick lehetővé teszik, hogy a kereskedők áruházaik részlegei, vagy akár a részlegeken belül a sorok kínálatából villantsanak fel ajánlatokat a vásárlók mobileszközein. "Ehhez nem kell semmilyen speciális technológia, ha egy áruházat üzemeltetsz, elég hozzá egy áruházi hangszóró" - mondta Mavroudis.
Az Egyesült Államokban nem kellett túl sok, hogy mindezt a magánszféra megsértésének kockázataként értékeljék. Márciusban a Szövetségi Kereskedelmi Bizottság (FTC) 12 ultrahangos alkalmazásfejlesztő körmére koppintott. A vád: az alkalmazások akkor is lehetővé tették az eszközökön keresztüli nyomon követést, amikor az alkalmazások be sem voltak kapcsolva. Ez azt jelenti, hogy az alkalmazások úgy gyűjthetnek információt felhasználóikról, hogy azok nem is tudnak róla.
A fejlesztők gyorsan módosították alkalmazásaikat, az FTC szóvivője szerint azonban a hatóság figyelme a jövőben sem fog lankadni és továbbra is árgus szemekkel követi az eszközökön keresztüli nyomkövetési technikákat.
Ez azonban csak egy a problémák közül, melyeket Mavroudis és munkatársai felfedeztek az ultrahang alapú technológiák sérülékenységeinek vizsgálata során. A másik fő aggály, hogy ezek a szoftverek nem csak az ultrahangot képesek figyelni. "Bármely alkalmazás, ami ultrahangot akar használni, hozzáfér a mikrofonhoz" - magyarázta Mavroudis, vagyis elméletileg ugyanaz az alkalmazás a beszélgetéseinkbe is belehallgathat.
Emellett az ultrahangos audio jeladók imitálhatók is, azaz a hackerek létrehozhatnak olyan hirdetési felületnek tűnő jeladókat, amik valójában nemkívánatos, vagy ártalmas üzeneteket juttatnak el az eszközeinkre. Mavroudis hangsúlyozta, hogy ezek a sebezhetőségek még nincsenek hatással az emberekre, azonban magának az ultrahangnak az egyszerűsége vonzó lesz az IoT (Internet of Things) alkalmazások számára.
Minél több IoT eszköz kapcsolódik egymáshoz, annál leterheltebbé válnak az otthoni Wi-Fi csatornák és elkerülhetetlenné válik a továbblépés. Az ultrahang tökéletes jelölt a célra, nem kell hozzá más, csak egy hangszóró és egy mikrofon. A Google Chromecast médialejátszója már az ultrahangot alkalmazza az eszköz és a mobiltelefonok párosításához.
Tény, hogy az ultrahang nem alkalmas nagy adatmennyiségek átvitelére. "Ha viszont tudod, mit csinálsz, akkor néhány bájt küldésével is feltörhető és utasítható egy rendszer. Nem kell mindig sok adat, hogy valami rosszat tegyünk" - figyelmeztet dr. Mu, a brit Northampton Egyetem tanára.
Mielőtt az ultrahang bekerül az általánosan alkalmazott IoT technológiák körébe, ki kell dolgozni a szabályozásait és kellő biztonsággal kell felvértezni. "Az ultrahangos jeladóknak még nincsenek specifikációi, nincs szabály a megépítésükre, vagy a kapcsolódásukra. Ez egyfajta szürke terület, ahol senki sem akarja felvállalni a felelősséget"
A területet kutatók hasonló szabványokat szeretnének elérni, mint amik a Bluetooth esetében is léteznek. Ez azonban el fog tartani egy ideig, ezért időközben több ellenintézkedést is kifejlesztettek. Az egyik egy ultrahangszűrő böngésző kiterjesztés a Google Chrome-hoz, ami blokkolja a weboldalakba ágyazott jeladókat, valamint elkészítettek egy Android patch-et is, ami lehetővé teszi a felhasználóknak, hogy eldöntsék a mikrofon az ultrahang tartományok túl a normál hangtartományt is felvegye, vagy sem.