Serangan Baru Memungkinkan Aplikasi Android Menangkap Data Loudspeaker Tanpa Izin - Otak Kita

Serangan Baru Memungkinkan Aplikasi Android Menangkap Data Loudspeaker Tanpa Izin



Otak Kita - Awal bulan ini, The Hacker News meliput berita tentang penelitian yang mengungkapkan bagaimana lebih dari 1.300 aplikasi Android mengumpulkan data sensitif bahkan ketika pengguna secara eksplisit menolak izin yang diperlukan.

Penelitian ini terutama difokuskan pada bagaimana pengembang aplikasi menyalahgunakan beberapa cara untuk mengumpulkan data lokasi, pengidentifikasi telepon, dan alamat MAC pengguna mereka dengan mengeksploitasi saluran rahasia dan samping.

Sekarang, tim peneliti cybersecurity yang terpisah telah berhasil mendemonstrasikan serangan sisi-saluran baru yang dapat memungkinkan aplikasi jahat menguping pada suara yang keluar dari pengeras suara ponsel cerdas Anda tanpa memerlukan izin perangkat apa pun.

Menyalahgunakan Android Accelerometer untuk Mengambil Data Loudspeaker

Dijuluki Spearphone , serangan yang baru didemonstrasikan ini mengambil keuntungan dari sensor gerak berbasis perangkat keras, yang disebut accelerometer, yang dibangun di sebagian besar perangkat Android dan dapat diakses secara tidak terbatas oleh aplikasi apa pun yang diinstal pada perangkat bahkan dengan nol izin.

Accelerometer adalah sensor gerak yang memungkinkan aplikasi memantau pergerakan suatu perangkat, seperti kemiringan, guncangan, rotasi, atau ayunan, dengan mengukur laju waktu perubahan kecepatan sehubungan dengan besarnya atau arah.


Karena loudspeaker built-in dari smartphone ditempatkan pada permukaan yang sama dengan sensor gerakan tertanam, ini menghasilkan gema yang ditularkan melalui permukaan dan udara di tubuh smartphone ketika mode loudspeaker diaktifkan.

Ditemukan oleh tim peneliti keamanan — Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen — serangan dapat dipicu ketika korban meletakkan telepon atau video call pada mode speaker, atau mencoba mendengarkan media. file, atau berinteraksi dengan asisten ponsel cerdas.

Sebagai bukti konsep, para peneliti membuat aplikasi Android, yang meniru perilaku penyerang jahat, yang dirancang untuk merekam gema bicara menggunakan accelerometer dan mengirim data yang ditangkap kembali ke server yang dikendalikan penyerang.

Para peneliti mengatakan penyerang jarak jauh kemudian dapat memeriksa bacaan yang ditangkap, secara offline, menggunakan pemrosesan sinyal bersama dengan teknik pembelajaran mesin "off-the-shelf" untuk merekonstruksi kata-kata yang diucapkan dan mengekstrak informasi yang relevan tentang korban yang dimaksud.

Serangan Spearphone: Panggilan Mata-Mata, Catatan Suara, dan Multimedia

Menurut para peneliti, serangan Spearphone dapat digunakan untuk mempelajari tentang isi audio yang dimainkan oleh korban — dipilih dari galeri perangkat melalui Internet, atau catatan suara yang diterima melalui aplikasi pesan instan seperti WhatsApp.

    "Serangan yang diusulkan dapat menguping panggilan suara untuk membahayakan privasi ucapan pengguna akhir jarak jauh dalam panggilan," para peneliti menjelaskan.
    "Informasi pribadi seperti nomor jaminan sosial, ulang tahun, usia, detail kartu kredit, detail akun perbankan, dll sebagian besar terdiri dari angka numerik. Jadi, kami percaya bahwa batasan ukuran dataset kami tidak boleh mengecilkan tingkat ancaman yang dirasakan dari serangan kami . " 


Para peneliti juga menguji serangan mereka terhadap asisten suara cerdas ponsel, termasuk Google Assistant dan Samsung Bixby, dan berhasil menangkap respons (hasil keluaran) terhadap permintaan pengguna melalui pengeras suara ponsel.


Para peneliti percaya bahwa dengan menggunakan teknik dan alat yang dikenal, serangan Spearphone mereka memiliki "nilai signifikan karena dapat dibuat oleh penyerang profil rendah."

Selain itu, serangan Spearphone juga dapat digunakan untuk hanya menentukan beberapa karakteristik ucapan pengguna lain, termasuk klasifikasi gender, dengan akurasi lebih dari 90%, dan identifikasi pembicara, dengan akurasi lebih dari 80%.

    "Misalnya, seorang penyerang dapat mengetahui jika seseorang tertentu (orang yang berkepentingan di bawah pengawasan oleh penegak hukum) telah melakukan kontak dengan pemilik telepon pada waktu tertentu," kata para peneliti. 


Nitesh Saxena juga mengkonfirmasi The Hacker News bahwa serangan itu tidak dapat digunakan untuk menangkap suara pengguna yang ditargetkan atau lingkungan mereka karena "itu tidak cukup kuat untuk mempengaruhi sensor gerak ponsel, terutama mengingat tingkat pengambilan sampel yang rendah yang dikenakan oleh OS," dan dengan demikian juga tidak mengganggu pembacaan accelerometer.

Untuk lebih jelasnya, kami mendorong pembaca kami untuk menuju ke kertas penelitian lengkap [PDF], berjudul "Spearphone: Eksploitasi Privasi Pidato melalui Gema Akselerometer-Sensed dari Pengeras Suara Smartphone."

Makalah ini juga membahas beberapa teknik mitigasi yang mungkin dapat membantu mencegah serangan seperti itu, serta beberapa batasan, termasuk laju pengambilan sampel yang rendah dan variasi volume maksimum dan kualitas suara telepon yang berbeda yang dapat berdampak negatif pada pembacaan accelerometer.

Dalam laporan sebelumnya, kami juga menjelaskan bagaimana aplikasi malware ditemukan menggunakan sensor gerak dari perangkat Android yang terinfeksi untuk menghindari deteksi dengan memantau jika perangkat tersebut berjalan di emulator yang dijalankan atau milik pengguna sah dengan gerakan.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel