Учени откриха нова уязвимост в масово използван компонент, която би могла да доведе до завладяването на всеки от милионите смартфони, фитнес устройства и дори автомобили от хакери.
Чрез използването на звукови вълни, изследователите са измислили как да подведат акселерометрите - малките сензори в устройствата, които засичат движение, да регистрират фалшив сигнал за движение, и които хакерите могат да се използват, за да контролират нашите устройства.
"Това е като оперния певец, който чупи с гласа си чаша вино, само че в нашия случай, го правим с думи", казва Кевин Фу от Университета на Мичиган. "Можете да мислите за това като за музикален вирус."
Сензорите, изследвани от екипа на Фу са т.нар. капацитивни MEMS акселерометри, които регистрират промяната в скоростта на даден обект в три измерения. Това са сензорите, които могат да кажат по какъв начин държите или накланяте вашия смартфон или таблет, или броят стъпките, които правите при физическа активност. Те се използват в потребителски джаджи, но не само - вградени са в редища други неща като медицински изделия, превозни средства и дори спътници. И ние сме все по-зависими от тях през цялото време.
"Хиляди ежедневни устройства вече съдържат миниатюрни MEMS акселерометри," обяснява Фу в съобщение до пресата.
Но акселерометрите имат ахилесова пета - звукът. Чрез прецизно регулиране на акустични тонове на правилната честота, екипът на Фу успява да измами 15 от 20 различни модели на акселерометри на пет различни производители, както и да контролира изделията с тях в 65 процента от случаите.
След като установили кои честоти стават за манипулиране на сензорите, изследователите накарали един Fitbit да преброи хиляди стъпки, които никога не са били направени; пилотирали кола играчка, контролирана от приложение на смартфон; и дори използвали музикален файл, за да накарат Samsung Galaxy S5 да напише дума.
При това не използвали някаква специална аудио техника от висок клас. В един от случаите, изследователите използвали външен високоговорител за 5 долара, в друг - смартфон, който просвирвал звуковия файл по своя вътрешен високоговорител и ефективно бил хакнат.
Всички тези доказателства на концепцията изглеждат безвредни, но учените предупреждават, че същата техника може лесно да се използва злонамерено и за потенциално много опасни цели.
Изследванетото ще бъде представено на Европейския симпозиум на IEEE за сигурност и защита на личните данни в Париж през април.
Както съобщава Джон Марков в The New York Times, Министерството на вътрешната сигурност на САЩ се очаква да издаде предупреждение за сигурност във връзка с конкретните сензори, документирани в доклада. Производителите им са предупредени за уязвимостта преди изследователите да оповестят публично констатациите си тази седмица.