Новый метод позволяет вредоносным приложениям перехватывать голосовые данные, исходящие с динамиков смартфона без какого-либо разрешения.
Эксперты в области безопасности продемонстрировали новую атаку по сторонним каналам, позволяющую вредоносным приложениям перехватывать голосовые данные, исходящие с динамиков смартфона без какого-либо разрешения.
Новый метод, получивший название Spearphone, задействует акселерометр, встроенный в большинство Android-устройств. Доступ к этому датчику может получить любое приложение, включая программы, не имеющие никаких разрешений.
Акселерометр – прибор, с помощью которого измеряется кажущееся ускорение. Он призван помочь программному обеспечению смартфона определить положение, а также расстояние перемещения мобильного устройства в пространстве.
Данная атака срабатывает в случае, когда жертва активирует режим громкоговорителя в телефоне или при видео-звонке, прослушивает медиафайлы или взаимодействует с виртуальным помощником на смартфоне.
Исследователи разработали вредоносное Android-приложение, которое записывает реверберации с помощью акселерометра и отправляет полученные данные на сервер атакующих. По словам исследователей, злоумышленник может проанализировать данные и с помощью технологий цифровой обработки сигналов и машинного обучения воссоздать произнесенные слова и извлечь нужную информацию о жертве.
Атака Spearphone может использоваться для определения содержимого проигранного жертвой аудио или голосовых заметок, полученных через мессенджеры, такие как WhatsApp, персональной информации (номеров социального страхования, дат рождения, возраста, данных платежных карт, банковских счетов и т.д.). Более подробно новый метод описан в работе исследователей.
Спойлер: мы раскрываем их любимые трюки