fuldt funktionel TickTock prototype, bestående af forskellige stablede komponenter
En gruppe forskere fra National University of Singapore og Yonsei University (Korea) for nylig udgivet, som har udviklet en metode til at detektere aktivering af en mikrofon gemt i en bærbar computer.
For at demonstrere driften af metode baseret på Raspberry Pi 4-kortet, forstærkeren og transceiveren (SDR), en prototype kaldet TickTock blev samlet, som gør det muligt at detektere aktiveringen af mikrofonen af malware eller spyware for at lytte til brugeren.
Den passive detektionsteknik medtagelse af en mikrofon er relevant, da brugeren i tilfælde af et webcam kan blokere optagelsen blot ved at stikke kameraet, så er det problematisk at slukke for den indbyggede mikrofon og det er ikke klart, hvornår den er aktiv, og hvornår den ikke er.
Metoden er baseret på, at når mikrofonen virker, begynder de kredsløb, der transmitterer clock-signaler til analog til digital konverteren, at udsende et specifikt baggrundssignal, der kan opfanges og adskilles fra støjen forårsaget af driften af andre systemer vha. tilstedeværelsen af specifik elektromagnetisk stråling fra mikrofonen, kan det konkluderes, at optagelse finder sted.
Enheden kræver tilpasning til forskellige bærbare modeller, da karakteren af det udsendte signal i høj grad afhænger af den anvendte lydchip. For korrekt at bestemme mikrofonens aktivitet var det også nødvendigt at løse problemet med at filtrere støj fra andre elektriske kredsløb og tage højde for ændringen i signalet afhængigt af forbindelsen.
"For det første kræver disse løsninger, at brugerne har tillid til bærbare computerproducenters implementering eller operativsystemer, som er blevet kompromitteret af angribere flere gange tidligere, eller som producenterne selv kan være ondsindede," skriver de i deres dokument. . "For det andet er disse løsninger kun indbygget i en lille brøkdel af enheder, så de fleste bærbare computere i dag har ikke en måde at opdage/forhindre aflytning på."
I slutningen, var forskerne i stand til at tilpasse deres enhed til pålideligt at detektere aktivering fra mikrofonen i 27 af de 30 modeller af testede bærbare computere lavet af Lenovo, Fujitsu, Toshiba, Samsung, HP, Asus og Dell.
De tre enheder metoden ikke fungerede med var Apple MacBook-modellerne 2014, 2017 og 2019 (det blev foreslået, at signallækagen ikke kunne detekteres på grund af det afskærmede aluminiumshus og brugen af korte flexkabler).
"Emanationen kommer fra de kabler og stik, der fører ursignalerne til mikrofonens hardware, for i sidste ende at betjene dens analog-til-digital-konverter (ADC)," forklarer de. "TickTock fanger denne læk for at identificere tænd/sluk-status for den bærbare computers mikrofon."
Forskerne også forsøgt at tilpasse metoden til andre klasser af enheder, smartphones, tablets, smarthøjttalere og USB-kameraer, men effektiviteten viste sig at være mærkbart lavere: af de 40 testede enheder blev kun 21 opdaget, hvilket forklares ved brugen af analoge mikrofoner i stedet for digitale, andre tilslutningskredsløb og kortere ledere, der udsender et elektromagnetisk signal.
Slutresultatet var ganske vellykket, andet end Apple hardware.
"Selvom vores tilgang fungerer godt på 90 procent af testede bærbare computere, inklusive alle testede modeller fra populære leverandører som Lenovo, Dell, HP og Asus, kan TickTock ikke registrere mikrofon-ursignaler på tre bærbare computere, som alle er Apple MacBooks, » brainiacs hævder i deres artikel.
De spekulerer i, at af de enheder, der var umulige at opdage, kan det skyldes, at MacBook'ens aluminiumshylstre og korte flexkabler dæmper EM-lækage til det punkt, at der ikke kan detekteres noget signal.
Hvad angår smartphones, kan det skyldes analoge snarere end digitale mikrofoner på nogle telefonmodeller, mangel på strømbegrænsninger på tilsluttet mikrofonudstyret hardware, såsom smarthøjttalere.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.