Menu dostępności

Nietypowy atak pozwala przekształcić autonomiczny odkurzacz w mikrofon do podsłuchu!

Ataki cybernetyczne ewoluują tak szybko jak cała otaczająca nas technologia. Metody włamań dostosowują się do urządzeń oraz do użytkowników, a także wykorzystują nowe luki, nowe protokoły czy nowe metody transportu danych.
Wielokrotnie pisaliśmy już o technikach włamywania się rodem z filmów o agencie 007. Polecamy artykuły tutaj oraz tutaj.

Ostatnio pojawiło się coś nowego i jeszcze bardziej zaskakującego. Zespół naukowców z Uniwersytetu Narodowego w Singapurze szczegółowo opisał nowatorskie badania, które przekształciły inteligentny odkurzacz w mikrofon zdolny do nagrywania rozmów prowadzonych w pobliżu! Technika ta, nazwana została LidarPhone i polega na przejęciu wbudowanego w odkurzacze komponentu nawigacyjnego wykorzystującego laser LiDAR i przekształceniu go w mikrofon laserowy.

LiDAR to w skrócie inteligentny radar laserowy, który charakteryzuje się wysoką rozdzielczością i szybkością działania. Po prostu skanuje całe otoczenie wirującą wiązką lasera i tworzy na tej podstawie mapę zbudowaną z chmury punktów.

Mikrofony laserowe to z kolei dobrze znane narzędzia podsłuchu, które były używane podczas zimnej wojny do nagrywania rozmów z większej odległości. Agenci wywiadu kierowali lasery w odległe okna, aby monitorować wibracje szkła i dekodować sygnał rozszyfrowując w ten sposób rozmowy odbywające się w pomieszczeniach.

Naukowcy odpowiedzialni za koncepcję ataku przyjęli te same założenia, ale zastosowali je do popularnego robota odkurzającego Xiaomi Roborock.


Jak działa atak LidarPhone?

Atak nie jest prosty i należy spełnić określone warunki, aby go przeprowadzić. Na początek osoba atakująca musiałaby użyć złośliwego oprogramowania lub zmodyfikowanego procesu aktualizacji, aby zmienić oprogramowanie układowe odkurzacza i przejąć kontrolę nad komponentem LiDAR. Poprzez malware, atakujący musi zatrzymać rotację LiDAR i zamiast tego skupić się na jednym pobliskim obiekcie na raz, skąd mógłby zarejestrować, jak jego powierzchnia wibruje do fal dźwiękowych.

Ponadto, ponieważ komponenty LiDAR w odkurzaczach inteligentnych nie są tak dokładne jak mikrofony laserowe wysokiej klasy, naukowcy powiedzieli, że zebrane odczyty laserowe będą musiały zostać przesłane na zdalny serwer atakującego w celu dalszego przetwarzania w taki sposób żeby wzmocni sygnał i uzyskać jakości dźwięku, w którym mowa może być zrozumiana przez ludzkiego obserwatora.

Niemniej jednak, pomimo tych wszystkich warunków, naukowcy stwierdzili, że udało im się nagrać i uzyskać dane audio z testowego komponentu nawigacyjnego LiDAR robota Xiaomi. Przetestowali atak LidarPhone z różnymi obiektami, zmieniając odległość między robotem a obiektem oraz odległość między źródłem dźwięku, a obiektem. Testy koncentrowały się na odzyskaniu wartości liczbowych z mowy ludzkiej, które udało się odzyskać z 90% dokładnością.

Naukowcy twierdzą, że technika ta może być również wykorzystana do identyfikacji i profilowania mówców na podstawie płci, słuchanej w domu muzyki, oglądanych programów telewizyjnych itp.


Na razie to tylko akademickie badania…

Chociaż atak LidarPhone brzmi jak rażąca ingerencja w prywatność, użytkownicy nie muszą na razie panikować. Ten rodzaj ataku opiera się o wiele warunków początkowych, które w innych, prostszych atakach nie muszą zostać spełnione. Istnieją znacznie łatwiejsze sposoby szpiegowania użytkowników niż nadpisywanie oprogramowania układowego odkurzacza w celu kontrolowania jego systemu nawigacji laserowej, na przykład nakłanianie użytkownika do zainstalowania złośliwego oprogramowania na telefonie. Pamiętajmy, że atakujący zawsze wybiorą najprostszą dostępną ścieżkę ataku.

Atak LidarPhone to jedynie nowatorskie badanie naukowe, które można wykorzystać do wzmocnienia bezpieczeństwa i projektowania przyszłych inteligentnych robotów mobilnych używanych wszędzie, nie tylko do odkurzania domu czy koszenia trawnika. W rzeczywistości głównym zalecanym środkiem zaradczym dla twórców inteligentnych robotów odkurzających jest w tym przypadku wyłączanie komponentu LiDAR, jeśli się nie obraca, czyli nie pracuje tak jak powinien.

Dodatkowe szczegóły na temat badań są dostępne w artykule badawczym zatytułowanym „Spying with Your Robot Vacuum Cleaner: Eavesdropping via Lidar Sensors„.

Poniżej dostępne jest nagranie demonstracyjne zespołu badawczego z przeprowadzonych testów:

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

W świecie cyberbezpieczeństwa nic nie budzi większego niepokoju niż niezałatana luka typu zero-day, dająca możliwość wykonania zdalnego kodu bez żadnej interakcji ze strony użytkownika. Na czarnym ry...
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...