31 Января 2018 10:27 31 Янв 2018 10:27 |

Поделиться

Датчики «умных» устройств оказались уязвимы для грабителей и террористов

Атака преобразования сигнала

Двое исследователей — Кевин Фу (Kevin Fu) из Университета американского штата Мичиган и Вэньюань Сюй (Wenyuan Xu) из Чжэцзянского университета в китайском Ханчжоу — опубликовали исследование, в котором описали вид физических атак на всевозможные электронные датчики с возможностью последующего вывода из строя использующих их систем. Атаки получили название Transduction Attacks. Наиболее адекватным переводом будет «Атака преобразования сигнала», поскольку речь идет о физических атаках на различные датчики, используемые smart-устройствами.

Суть атаки довольно проста: с помощью звука, электромагнитного злучения, электрических сигналов или чего-то еще можно заставить датчик регистрировать и передавать всей системе неверные данные. Например, с помощью наведенного электромагнитного сигнала можно заставить температурный датчик термопары регистрировать неверные значения температуры. Для этого, правда, нужно сформировать специальный сигнал, который заставит датчик реагировать некорректным образом и выдавать ложные данные.

В частности, ученые продемонстрировали, как можно заставить термодатчик зарегистрировать температуру -1499 градусов по Фаренгейту или -800 градусов по Цельсию. Это значительно ниже температуры абсолютного нуля — физически невозможное значение. Но датчику и связанному с ним программному обеспечению термопары это не важно.

По мнению экспертов, проблема заключается именно в том, что ПО «слепо доверяет» данным, получаемым с датчиков, считая их показания непогрешимыми. Таким образом, все сегодняшние сенсоры и датчики беззащитны перед физическими атаками.

«Миллиарды активных датчиков лишены какой-либо встроенной защиты от преднамеренных физических манипуляций», — указывают исследователи. — Вероятнее всего, эти устройства были разработаны задолго до того, как появилось понимание рисков безопасности». Последствия у этой проблемы могут быть самые драматичные: от банальных краж до терактов.

Ничего нового, кроме названия

«Атаки преобразования сигнала» сами по себе не представляют собой ничего нового. Уже неоднократно разные исследователи показывали, как с помощью специфического воздействия можно вызывать отказ датчиков или, хуже того, изменять их показания — например, с помощью аналоговых сигналов на резонансной частоте сенсора.

Примером подобного рода явлений может служить «дельфинья атака», получившая широкую известность в 2017 г. Тогда ученые из Китая выяснили, что голосовые помощники вроде Siri, Alexa, Cortana, Google Now, Samsung S Voice и другие охотно выполняют команды, отданные злоумышленниками с помощью ультразвука; человек их не слышит, а голосовые помощники — и слышат, и выполняют.

Сергей Станкевич, Positive Technologies: Мы развиваем эмуляционную технологию для борьбы со сложным вредоносным ПО

Безопасность

Были также несколько примеров, когда исследователи находили способ обманывать сенсоры «умных» автомобилей, заставляя их «видеть» несуществующие препятствия.

«Уязвимы, как правило, сами физические процессы в аналоговых датчиках», — утверждают исследователи. По их мнению, единственный надежный способ обезопаситься — это обеспечить защиту на аппаратном уровне, или разрабатывать сенсоры с учетом возможности интенсивного внешнего вмешательства и сильной интерференции.

«Тут можно добавить, что программное обеспечение датчиков должно также проверять диапазон допустимых значений, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Например, необходимо проверять диапазон допустимых температур в случае с термодатчиками, рабочих частот в случае с голосовыми помощниками, и так далее. То есть, необходимо, чтобы система адекватно реагировала на недопустимые значения, полученные с датчиков, это хотя бы сузит "поверхность атаки"».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка