Nietypowy atak pozwala przekształcić autonomiczny odkurzacz w mikrofon do podsłuchu!

Jak działa atak LidarPhone?

Atak nie jest prosty i należy spełnić określone warunki, aby go przeprowadzić. Na początek osoba atakująca musiałaby użyć złośliwego oprogramowania lub zmodyfikowanego procesu aktualizacji, aby zmienić oprogramowanie układowe odkurzacza i przejąć kontrolę nad komponentem LiDAR. Poprzez malware, atakujący musi zatrzymać rotację LiDAR i zamiast tego skupić się na jednym pobliskim obiekcie na raz, skąd mógłby zarejestrować, jak jego powierzchnia wibruje do fal dźwiękowych.

Ponadto, ponieważ komponenty LiDAR w odkurzaczach inteligentnych nie są tak dokładne jak mikrofony laserowe wysokiej klasy, naukowcy powiedzieli, że zebrane odczyty laserowe będą musiały zostać przesłane na zdalny serwer atakującego w celu dalszego przetwarzania w taki sposób żeby wzmocni sygnał i uzyskać jakości dźwięku, w którym mowa może być zrozumiana przez ludzkiego obserwatora.

Niemniej jednak, pomimo tych wszystkich warunków, naukowcy stwierdzili, że udało im się nagrać i uzyskać dane audio z testowego komponentu nawigacyjnego LiDAR robota Xiaomi. Przetestowali atak LidarPhone z różnymi obiektami, zmieniając odległość między robotem a obiektem oraz odległość między źródłem dźwięku, a obiektem. Testy koncentrowały się na odzyskaniu wartości liczbowych z mowy ludzkiej, które udało się odzyskać z 90% dokładnością.

Naukowcy twierdzą, że technika ta może być również wykorzystana do identyfikacji i profilowania mówców na podstawie płci, słuchanej w domu muzyki, oglądanych programów telewizyjnych itp.

Na razie to tylko akademickie badania…

Chociaż atak LidarPhone brzmi jak rażąca ingerencja w prywatność, użytkownicy nie muszą na razie panikować. Ten rodzaj ataku opiera się o wiele warunków początkowych, które w innych, prostszych atakach nie muszą zostać spełnione. Istnieją znacznie łatwiejsze sposoby szpiegowania użytkowników niż nadpisywanie oprogramowania układowego odkurzacza w celu kontrolowania jego systemu nawigacji laserowej, na przykład nakłanianie użytkownika do zainstalowania złośliwego oprogramowania na telefonie. Pamiętajmy, że atakujący zawsze wybiorą najprostszą dostępną ścieżkę ataku.

Atak LidarPhone to jedynie nowatorskie badanie naukowe, które można wykorzystać do wzmocnienia bezpieczeństwa i projektowania przyszłych inteligentnych robotów mobilnych używanych wszędzie, nie tylko do odkurzania domu czy koszenia trawnika. W rzeczywistości głównym zalecanym środkiem zaradczym dla twórców inteligentnych robotów odkurzających jest w tym przypadku wyłączanie komponentu LiDAR, jeśli się nie obraca, czyli nie pracuje tak jak powinien.

Dodatkowe szczegóły na temat badań są dostępne w artykule badawczym zatytułowanym „Spying with Your Robot Vacuum Cleaner: Eavesdropping via Lidar Sensors„.

Poniżej dostępne jest nagranie demonstracyjne zespołu badawczego z przeprowadzonych testów: