реклама
Теги → кейлоггер

Хакер показал, как с помощью невидимого лазера удалённо считывать текст, набираемый на ноутбуке

Похоже, что в открытом доступе появились хакерско-шпионские технологии на базе инфракрасного лазера для считывания информации, набираемой на компьютере. На конференции по безопасности Defcon известный хакер Сэми Камкар (Samy Kamkar) продемонстрирует установку, которая по отражённым от ноутбука вибрациям позволяет точно восстановить набираемый текст или подслушать разговор. Для работы установки достаточно прямой видимости любой отражающей поверхности устройства.

 Источник изображения: wired.com

Источник изображения: wired.com

Камкар утверждает, что он создал одну из самых высокоточных реализаций лазерного микрофона в мире. Результатом стала система с открытым исходным кодом, которая потенциально может улавливать практически всё, что печатается или произносится вслух в комнате объекта наблюдения.

Лучше всего трюк со слежкой за нажатием клавиш работает при наведении лазера на хорошо отражающую свет деталь ноутбука. «Логотип Apple — это почти зеркало, — говорит Камкар. — Это действительно хорошая отражающая поверхность». В некоторых случаях исследователю удавалось даже улавливать музыку, хотя двойное оконное стекло существенно ухудшало разборчивость отражённого сигнала.

Шпионская лазерная технология Камкара не является совершенно новой концепцией: как метод наблюдения за нажатием клавиш, так и подслушивание звука являются по сути его версиями лазерного микрофона, изобретённого десятилетия назад. Заслуга Камкара в значительно повышенной точности работы подобного устройства и открытом исходном коде системы.

Чтобы уменьшить помехи и шум в отражённом инфракрасном сигнале, он использовал модуляцию с частотой 400 килогерц с дальнейшей фильтрацией. Получившийся сигнал был усилен и отправлен на повышающий преобразователь, а затем — на цифровое программируемое радио для его анализа. Другими словами, Камкар преобразовал звук в свет, а затем обратно в звук.

«Я думаю, что создал первый лазерный микрофон, который на самом деле модулируется в области радиочастот, — говорит Камкар. — Как только у меня появляется радиосигнал, я могу обращаться с ним как с радио и могу использовать все инструменты, которые существуют для радиосвязи».

В процессе определения нажатой клавиши Камкар использовал программу iZotopeRX для дальнейшего удаления помех, а затем программное обеспечение с открытым исходным кодом Keytap3, которое преобразовывает звук нажатия клавиш в разборчивый текст. Исследователи безопасности годами демонстрировали, что нажатия клавиш можно анализировать и преобразовывать в текст благодаря различиям в аудиосигнатуре каждой клавиши. Например, относительно точный текст был получен из звуков нажатия клавиш, записанных в процессе видеозвонка.

По свидетельству журналистов Wired, результаты, полученные Камкаром впечатляют — некоторые восстановленные образцы текста были почти полностью разборчивы, с пропущенной буквой на каждое слово или два. По их словам, лазерный микрофон Камкара воспроизводил удивительно чистый звук, заметно лучше, чем другие подобные образцы, находящиеся в открытом доступе.

Камкар признаёт, что не знает, чего достигла подобная технология в коммерческих реализациях, доступных правительствам или правоохранительным органам, не говоря уже о секретных образцах, которые созданы или используются разведывательными агентствами. «Я бы предположил, что они делают это или что-то в этом роде», — говорит он.

В отличие от создателей профессиональных шпионских инструментов, Камкар публикует полные схемы своего набора для самостоятельного шпионажа с лазерным микрофоном. «В идеале я хочу, чтобы общественность знала обо всем, что делают разведывательные агентства, и о том, что будет дальше, — говорит Камкар. — Если вы не знаете, что что-то возможно, вы, вероятно, не сможете от этого защититься».

 Источник изображения: Roger Kisby/Wired

Источник изображения: Roger Kisby/Wired

Как можно защититься от бесшумного, невидимого, дальнобойного лазерного шпионажа? Компаниям и лицам, беспокоящимся о своей безопасности, рекомендуется устанавливать многослойные или отражающие стекла. Существуют устройства, которые крепятся к оконным стёклам и заставляют их вибрировать, создавая помехи для лазерного микрофона.

Камкар не тестировал свою систему против подобных устройств, но предлагает значительно более дешёвое решение: «Не работайте на компьютерах, которые видны из окна. Или просто не мойте окна».

Китайские клавиатурные приложения Honor, Oppo, Samsung, Vivo и Xiaomi оказались уязвимы перед слежкой

Пользователям, печатающим на китайском языке с помощью облачных приложений Baidu, Honor, iFlytek, Oppo, Samsung, Tencent, Vivo и Xiaomi, следует немедленно обновить своё программное обеспечение. Исследователи обнаружили серьёзные недостатки шифрования в ПО ввода по системе пиньинь, которые могут скомпрометировать вводимые данные. Хотя сведений об использовании уязвимости пока не обнародовано, проблема потенциально может затронуть до миллиарда пользователей.

 Источник изображения: techspot.com

Источник изображения: techspot.com

Китайское письмо включает в себя тысячи уникальных символов, которые невозможно разместить на клавиатуре, поэтому для набора текста используются альтернативные методы ввода (IME). Во всех уязвимых облачных инструментах использовалась система пиньинь (буквально — «фонетическое письмо»), в которой пользователи используют латиницу для ввода фонетического произношения, а затем выбирают соответствующие символы из набора. Поставщики операционных систем и сторонние разработчики на протяжении десятилетий предоставляют китайским пользователям локальные альтернативные методы ввода, но облачные сервисы опережают локальные приложения по точности определения символов.

Использование любого облачного приложения для набора текста повышает риск отслеживания, поэтому разработчики обеспечивают конфиденциальность с помощью шифрования. Исследователи из Университета Торонто проверили безопасность приложений девяти компаний: Baidu, Honor, Huawei, iFlytek, OPPO, Samsung, Tencent, Vivo и Xiaomi, и в процессе эксперимента успешно считывали нажатия клавиш всех этих инструментов, кроме приложения Huawei.

Исследователи не обнаружили недостатков в приложениях для iOS, поскольку Apple автоматически помещает в «песочницу» клавиатурные приложения, а для доступа и передачи данных требует явного разрешения пользователя. Аналогичные инструменты для Android и Windows признаны гораздо менее безопасными. Пользователи Android могут запретить клавиатурному приложению подключаться к интернету, но большинство пользователей просто не задумываются о потенциальных рисках, да и найти соответствующие элементы управления в настройках не так-то просто.

Исследователи поставили всех разработчиков в известность о найденной уязвимости, и большинство из них уже выпустило обновления для устранения проблем, но недостатки шифрования пока сохраняются в приложениях Baidu, клавиатуре Honor и сервисе Tencent QQ Pinyin. Исследователи перечислили десятки похожих приложений, которые они не тестировали, предположив, что в большинстве приложений могут обнаружится аналогичные уязвимости.

Исследователи выразили тревогу, напомнив предыдущие эпизоды правительственной слежки. Например, Five Eyes — альянс по обмену разведданными между США, Великобританией, Канадой, Австралией и Новой Зеландией — ранее использовал аналогичные уязвимости в китайских приложениях, чтобы шпионить за пользователями.

window-new
Soft
Hard
Тренды 🔥
Приключение Hela про храброго мышонка в открытом мире получит кооператив на четверых — геймплейный трейлер новой игры от экс-разработчиков Unravel 2 ч.
OpenAI случайно удалила потенциальные улики по иску об авторских правах 2 ч.
Скрытые возможности Microsoft Bing Wallpaper напугали пользователей 3 ч.
В WhatsApp появилась расшифровка голосовых сообщений — она бесплатна и поддерживает русский язык 4 ч.
Новая игра создателей The Invincible отправит в сердце ада выживать и спасать жизни — первый трейлер и подробности Dante’s Ring 5 ч.
Центр ФСБ по компьютерным инцидентам разорвал договор с Positive Technologies 6 ч.
Android упростит смену смартфона — авторизовываться в приложениях вручную больше не придётся 6 ч.
OpenAI обдумывает создание собственного интернет-браузера и поисковых систем для противостояния Google 7 ч.
Apple готовит более разговорчивую Siri — она выйдет с iOS 19 8 ч.
Новая статья: Верные спутники: 20+ полезных Telegram-ботов для путешественников 13 ч.
TeamGroup представила SSD T-Force GA Pro на чипе InnoGrit — PCIe 5.0, до 2 Тбайт и до 10 000 Мбайт/с 6 мин.
Провалился крупнейший проект по производству электромобильных батарей в Европе — Northvolt объявила о банкротстве 14 мин.
«Уэбб» открыл в ранней Вселенной три огромные галактики — учёные не понимают, почему они так быстро сформировались 25 мин.
В Зеленограде начнут выпускать чипы для SIM-карт и паспортов — на этом планируется заработать триллионы рублей 40 мин.
В России стартовали продажи полностью беспроводных наушников Tecno True 1 Air, Buds 4 и Buds 4 Air 2 ч.
Одна из структур Минпромторга закупит ИИ-серверы на 665 млн рублей 3 ч.
Kioxia подала заявку на IPO — третьего крупнейшего производителя флеш-памяти оценили всего в $4,85 млрд 4 ч.
«Джеймс Уэбб» первым в истории нашёл «зигзаг Эйнштейна» — уникальное искривление пространства-времени 4 ч.
Второй электромобиль Xiaomi выйдет через год после первого и будет заметно от него отличаться 4 ч.
Oracle объявила о доступности облачного ИИ-суперкомпьютера на базе NVIDIA H200 5 ч.