Une nouvelle attaque Air-Gap utilise le canal secret ultrasonique du gyroscope MEMS pour divulguer des données


Une nouvelle technique d’exfiltration de données a été trouvée pour tirer parti d’un canal ultrasonore secret pour divulguer des informations sensibles d’ordinateurs isolés et isolés vers un smartphone à proximité qui ne nécessite même pas de microphone pour capter les ondes sonores.

Doublé GAIROSCOPEle modèle contradictoire est le dernier ajout à une longue liste de approches acoustiques, électromagnétiques, optiques et thermiques conçu par le Dr Mordechai Guri, responsable de la R&D au Centre de recherche sur la cybersécurité de l’Université Ben Gourion du Néguev en Israël.

« Notre logiciel malveillant génère des ultrasons dans les fréquences de résonance du Gyroscope MEMS« , a déclaré le Dr Guri dans un nouveau papier publié cette semaine. « Ces fréquences inaudibles produisent de minuscules oscillations mécaniques dans le gyroscope du smartphone, qui peuvent être démodulées en informations binaires. »

La cyber-sécurité

L’espace aérien est considéré comme une contre-mesure de sécurité essentielle qui consiste à isoler un ordinateur ou un réseau et à l’empêcher d’établir une connexion externe, créant ainsi une barrière impénétrable entre un actif numérique et les acteurs de la menace qui tentent de se frayer un chemin pour les attaques d’espionnage.

Comme d’autres attaques contre des réseaux isolés, GAIROSCOPE n’est pas différent en ce sens qu’il mise sur la capacité d’un adversaire à pénétrer dans un environnement cible via des stratagèmes tels que des clés USB infectées, des points d’eau ou des compromis de la chaîne d’approvisionnement pour diffuser le malware.

La nouveauté cette fois-ci, c’est qu’il faut également infecter les smartphones des employés travaillant dans l’organisation victime avec une application malveillante qui, pour sa part, est déployée au moyen de vecteurs d’attaque comme l’ingénierie sociale, les publicités malveillantes ou les sites Web compromis, entre autres .

Dans la phase suivante de la chaîne de destruction, l’attaquant abuse de l’ancrage établi pour récolter des données sensibles (c’est-à-dire des clés de cryptage, des informations d’identification, etc.), encode et diffuse les informations sous la forme d’ondes sonores acoustiques furtives via le haut-parleur de la machine.

La transmission est ensuite détectée par un smartphone infecté qui se trouve à proximité physique et qui écoute via le capteur gyroscope intégré à l’appareil, après quoi les données sont démodulées, décodées et transférées à l’attaquant via Internet via Wi-Fi.

Ceci est rendu possible grâce à un phénomène appelé corruption ultrasonique qui affecte les gyroscopes MEMS à fréquences de résonance. « Lorsque ce son inaudible est joué près du gyroscope, cela crée une perturbation interne de la sortie du signal », a expliqué le Dr Guri. « Les erreurs dans la sortie peuvent être utilisées pour encoder et décoder des informations. »

Les résultats expérimentaux montrent que le canal secret peut être utilisé pour transférer des données avec des débits binaires de 1 à 8 bits/s à des distances de 0 à 600 cm, l’émetteur atteignant une distance de 800 cm dans des pièces étroites.

Si les employés placent leurs téléphones portables à proximité de leurs postes de travail sur le bureau, la méthode pourrait être utilisée pour échanger des données, y compris des textes courts, des clés de cryptage, des mots de passe ou des frappes.

La méthode d’exfiltration de données se distingue par le fait qu’elle ne nécessite pas que l’application malveillante du smartphone récepteur (dans ce cas, One Plus 7, Samsung Galaxy S9 et Samsung Galaxy S10) ait accès au microphone, incitant ainsi les utilisateurs à approuver leur accès sans suspicion.

La cyber-sécurité

Le canal secret haut-parleurs-gyroscope est également avantageux d’un point de vue contradictoire. Non seulement il n’y a pas de repères visuels sur Android et iOS lorsqu’une application utilise le gyroscope (comme dans le cas de la localisation ou du microphone), mais le capteur est également accessible depuis HTML via JavaScript standard.

Cela signifie également que le mauvais acteur n’a pas besoin d’installer une application pour atteindre les objectifs visés et peut à la place injecter du code JavaScript de porte dérobée sur un site Web légitime qui échantillonne le gyroscope, reçoit les signaux secrets et exfiltre les informations via Internet.

L’atténuation de GAIROSCOPE oblige les organisations à appliquer des politiques de séparation pour maintenir les smartphones à au moins 800 cm ou plus des zones sécurisées, supprimer les haut-parleurs et les pilotes audio des terminaux, filtrer les signaux ultrasonores à l’aide de pare-feu SilverDog et SoniControlet brouillez le canal caché en ajoutant des bruits de fond au spectre acoustique.

L’étude arrive un peu plus d’un mois après que le Dr Guri a démontré SATAn, un mécanisme permettant de sauter par-dessus les entrefers et d’extraire des informations en tirant parti des câbles Serial Advanced Technology Attachment (SATA).



ttn-fr-57