Υπάρχουν αμέτρητοι τρόποι με τους οποίους ένας χάκερ μπορεί να κλέψει τα δεδομένα σας και να παραβιάσει τα συστήματά σας: από αυτόματες μηχανές hacking, τη χρήση των επαφών σας ως άθελα συνεργών, μέχρι την ανάλυση χρήσης PIN – για να αναφέρουμε μόνο τρεις όπως λέει ο Davey Winder.
Αλλά τι θα γινόταν αν ένας επιτιθέμενος μπορούσε να κλέψει άκρως απόρρητα, κρατικά δεδομένα ακόμη και από ένα απομονωμένο σύστημα (air-gapped), το οποίο δεν είναι συνδεδεμένο στο διαδίκτυο, χρησιμοποιώντας ένα smartwatch;
Ερευνητές ασφαλείας στο Πανεπιστήμιο Ben-Gurion του Negev απέδειξαν ότι μπορούν να το κάνουν αυτό. Ορίστε τι πρέπει να γνωρίζετε για το SmartAttack.
Το SmartAttack μπορεί να εξάγει ευαίσθητα δεδομένα από απομονωμένα συστήματα
Ας ξεκαθαρίσουμε πρώτα κάτι: αυτό το άρθρο βασίζεται σε έρευνα ασφαλείας αιχμής. Εξετάζει απίθανα σενάρια τα οποία, εάν αξιοποιηθούν, θα μπορούσαν να έχουν καταστροφικές συνέπειες για κυβερνήσεις και μεγάλες επιχειρήσεις. Το ότι κάτι είναι απίθανο δεν σημαίνει ότι είναι αδύνατο.
Τα απομονωμένα συστήματα έχουν ήδη παραβιαστεί στο παρελθόν – είτε από κακόβουλους εσωτερικούς χρήστες, είτε από μολυσμένα USB sticks, είτε μέσω πολύπλοκων επιθέσεων στην αλυσίδα εφοδιασμού υποστηριζόμενων από κράτη. Το πρόβλημα όμως είναι η εξαγωγή δεδομένων από αυτά τα φυσικά απομονωμένα περιβάλλοντα. Επειδή δεν συνδέονται με εξωτερικά δίκτυα, οι χάκερ αναζητούν εναλλακτικές μεθόδους για να εξάγουν δεδομένα – όπως η υπερηχητική επικοινωνία μέσω smartphone.
Γι’ αυτό τα smartphones συνήθως απαγορεύονται σε τέτοιους χώρους. Όμως τι γίνεται με τα smartwatches;
Υπερηχητική κατασκοπεία μέσω smartwatch
Εδώ έρχεται ο Mordechai Guri, επικεφαλής του Offensive Cyber Research Lab στο Πανεπιστήμιο Ben-Gurion του Negev στο Ισραήλ, με την έρευνα του SmartAttack. Ο Guri είναι κορυφαία μορφή στον χώρο της έρευνας «air-gap jumping».
«Η προσέγγισή μας χρησιμοποιεί τα ενσωματωμένα μικρόφωνα των smartwatches για να καταγράφουν κρυφά σήματα σε πραγματικό χρόνο στη ζώνη υπερηχητικών συχνοτήτων μεταξύ 18–22 kHz», εξήγησε ο Guri. Τα ευρήματα, προειδοποίησε, «αναδεικνύουν τους κινδύνους ασφαλείας που ενέχουν τα smartwatches σε περιβάλλοντα υψηλής ασφάλειας».
Πώς γίνεται η επίθεση
Μια ήδη μολυσμένη συσκευή μπορεί να στέλνει δεδομένα μέσω ήχων που είναι μη αντιληπτοί από τον άνθρωπο, τα οποία καταγράφονται από ένα smartwatch με εφαρμογή ηχογράφησης. Αυτό το smartwatch δεν χρειάζεται να ανήκει στον χάκερ – αρκεί να ανήκει σε έναν υπάλληλο του χώρου που έχει παραβιαστεί.
«Το smartwatch έπειτα προωθεί τα εξαγόμενα δεδομένα στον επιτιθέμενο μέσω διαθέσιμων καναλιών επικοινωνίας, όπως Wi-Fi, δίκτυα κινητής τηλεφωνίας ή Bluetooth tethering», εξηγεί ο Guri, «παρακάμπτοντας ουσιαστικά τα παραδοσιακά μέτρα ασφαλείας».
Μέτρα προστασίας
Ο Guri πρότεινε ότι «ο περιορισμός ή η απαγόρευση χρήσης smartwatches και παρόμοιων συσκευών με δυνατότητα ήχου σε ευαίσθητα περιβάλλοντα είναι άμεση στρατηγική μετριασμού του κινδύνου».
