Un nuevo ataque de canal lateral denominado PIXEL Podría usarse de forma abusiva para atacar computadoras con espacio de aire, violando la «brecha de audio» y exfiltrando información confidencial aprovechando el ruido generado por los píxeles en la pantalla.
«El malware en los ordenadores con espacio de aire y de audio genera patrones de píxeles diseñados que producen ruido en el rango de frecuencia de 0 a 22 kHz». Dr. Mordejai Guridirector del Laboratorio de Investigación Cibernética Ofensiva del Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben Gurion del Néguev en Israel, dicho en un artículo recientemente publicado.
«El código malicioso aprovecha el sonido generado por bobinas y condensadores para controlar las frecuencias que emanan de la pantalla. Las señales acústicas pueden codificar y transmitir información sensible».
El ataque es notable porque no requiere ningún hardware de audio especializado, altavoz o altavoz interno en la computadora comprometida, sino que depende de la pantalla LCD para generar señales acústicas.
La separación de aire es una medida de seguridad crucial diseñada para proteger los entornos críticos contra posibles amenazas de seguridad aislándolos física y lógicamente de las redes externas (es decir, Internet). Esto se logra normalmente desconectando los cables de red, desactivando las interfaces inalámbricas y desactivando las conexiones USB.
Dicho esto, dichas defensas podrían ser burladas por un infiltrado malintencionado o por una vulneración de la cadena de suministro de hardware o software. Otro escenario podría implicar que un empleado desprevenido conecte una unidad USB infectada para instalar un malware capaz de activar un canal encubierto de exfiltración de datos.
«Se pueden emplear técnicas de phishing, infiltración maliciosa u otras técnicas de ingeniería social para engañar a individuos con acceso al sistema aislado y lograr que realicen acciones que comprometan la seguridad, como hacer clic en enlaces maliciosos o descargar archivos infectados», dijo el Dr. Guri.
«Los atacantes también pueden utilizar ataques a la cadena de suministro de software, atacando dependencias de aplicaciones de software o bibliotecas de terceros. Al comprometer estas dependencias, pueden introducir vulnerabilidades o códigos maliciosos que pueden pasar desapercibidos durante el desarrollo y las pruebas».
Al igual que el ataque RAMBO demostrado recientemente, PIXHELL utiliza el malware implementado en el host comprometido para crear un canal acústico para filtrar información de sistemas con brechas de audio.
Esto es posible gracias al hecho de que las pantallas LCD contienen inductores y condensadores como parte de sus componentes internos y fuente de alimentación, lo que hace que vibren a una frecuencia audible que produce un ruido agudo cuando la electricidad pasa a través de las bobinas, un fenómeno llamado ruido de bobina.
En concreto, los cambios en el consumo de energía pueden inducir vibraciones mecánicas o efectos piezoeléctricos en los condensadores, produciendo ruido audible. Un aspecto crucial que afecta al patrón de consumo es el número de píxeles que se iluminan y su distribución en la pantalla, ya que los píxeles blancos requieren más energía para visualizarse que los píxeles oscuros.
«Además, cuando la corriente alterna (CA) pasa a través de los condensadores de la pantalla, estos vibran a frecuencias específicas», dijo el Dr. Guri. «Las emanaciones acústicas son generadas por la parte eléctrica interna de la pantalla LCD. Sus características se ven afectadas por el mapa de bits, el patrón y la intensidad de los píxeles proyectados en la pantalla».
«Al controlar cuidadosamente los patrones de píxeles que se muestran en nuestra pantalla, nuestra técnica genera ciertas ondas acústicas en frecuencias específicas de las pantallas LCD».
Un atacante podría entonces aprovechar la técnica para extraer los datos en forma de señales acústicas que luego se modulan y transmiten a un dispositivo Windows o Android cercano, que posteriormente puede demodular los paquetes y extraer la información.
Dicho esto, cabe señalar que la potencia y la calidad de la señal acústica emanada dependen de la estructura específica de la pantalla, su fuente de alimentación interna y las ubicaciones de las bobinas y los condensadores, entre otros factores.
Otra cosa importante a destacar es que el ataque PIXHELL, por defecto, es visible para los usuarios que miran la pantalla LCD, dado que implica mostrar un patrón de mapa de bits que comprende filas alternas en blanco y negro.
«Para permanecer encubiertos, los atacantes pueden utilizar una estrategia que consiste en transmitir mientras el usuario está ausente», dijo el Dr. Guri. «Por ejemplo, un llamado ‘ataque nocturno’ en los canales encubiertos se mantiene fuera del horario laboral, lo que reduce el riesgo de ser descubierto y expuesto».
El ataque, sin embargo, podría transformarse en uno sigiloso durante las horas de trabajo al reducir los colores de los píxeles a valores muy bajos antes de la transmisión (es decir, utilizando niveles RGB de (1,1,1), (3,3,3), (7,7,7) y (15,15,15)), dando así la impresión al usuario de que la pantalla está en negro.
Pero hacerlo tiene el efecto secundario de reducir «significativamente» los niveles de producción de sonido. El método tampoco es infalible, ya que un usuario puede distinguir patrones anómalos si mira «con atención» la pantalla.
No es la primera vez que se superan las restricciones de la brecha de audio en un entorno experimental. Estudios anteriores realizados por el Dr. Guri han empleado sonidos generados por ventiladores de ordenador (Fansmitter), unidades de disco duro (Diskfiltración), unidades de CD/DVD (CD-LEAK), unidades de suministro de energía (POWER-SUPPLaY) e impresoras de inyección de tinta (Inkfiltración).
Como contramedidas, se recomienda utilizar un bloqueador acústico para neutralizar la transmisión, monitorear el espectro de audio en busca de señales inusuales o poco comunes, limitar el acceso físico al personal autorizado, prohibir el uso de teléfonos inteligentes y utilizar una cámara externa para detectar patrones de pantalla modulados inusuales.