جاسوسی با امواج صوتی: روش جدید نفوذ به حریم خصوصی در ویدیوکنفرانس

پژوهشگران هشدار داده‌اند که حتی با خاموش‌بودن دوربین و استفاده از پس‌زمینه مجازی، مهاجمان می‌توانند از راه کانال‌های صوتی برنامه‌هایی مانند زوم (Zoom) و مایکروسافت تیمز (Microsoft Teams)، موقعیت فیزیکی کاربران را شناسایی کنند.

وبگاه تِک‌اِکسپلور در گزارشی آورده است:

پس از همه‌گیری کووید ۱۹، پلتفرم‌های (سکوهای) ویدیوکنفرانس به ابزاری ضروری برای کار، آموزش و ارتباطات اجتماعی تبدیل شدند. با این حال، مطالعه جدید دانشمندان رایانه دانشگاه متودیست جنوبی (SMU) نشان می‌دهد این پلتفرم‌ها ممکن است آن‌گونه که کاربران تصور می‌کنند امن نباشند.

سازوکار حمله: حس‌گری صوتی از راه دور

مهاجمان با بهره‌برداری از کانال‌های صوتی دوطرفه برنامه‌های ویدیوکنفرانس می‌توانند:

از طریق حس‌گری صوتی از راه دور محیط فیزیکی کاربر را بررسی کنند؛

با تزریق صداهای مخرب و تحلیل پژواک‌های خاص هر مکان، موقعیت کاربر را شناسایی کنند؛

حتی با خاموش‌بودن دوربین و استفاده از پس‌زمینه مجازی به اطلاعات مکانی دست یابند.

یافته‌های نگران‌کننده این پژوهش

مهاجمان می‌توانند موقعیت مکانی کاربران را با دقت ۸۸ درصد تشخیص دهند؛

این سیستم حتی وقتی کاربر برای اولین‌بار در یک محل خاص باشد، باز هم می‌تواند آنجا را شناسایی کند؛

فقط ۰.۱ ثانیه (یک‌دهم ثانیه) برای جمع‌آوری اطلاعات از مکان کاربر کافی است.

این اعداد در عمل چه معنایی دارند؟

اگر در منزل، محل کار یا هتل از زوم یا تیمز استفاده کنید، دیگران ممکن است بفهمند شما کجا هستید؛ این اتفاق حتی با خاموش بودن دوربین و فعال بودن پس‌زمینه مجازی رخ می‌دهد و حمله به اندازه‌ای سریع است که قبل از اینکه متوجه شوید، تمام می‌شود.

هشدار محققان

پروفسور چن وانگ (Chen Wang)، پژوهشگر ارشد این مطالعه هشدار می‌دهد:

هر یک از شرکت‌کنندگان در ویدیوکنفرانس می‌توانند به‌راحتی حریم خصوصی مکانی دیگران را نقض کند. حتی کاربران محتاط که فقط هنگام صحبت، میکروفون را فعال می‌کنند نیز آسیب‌پذیر هستند. صحبت کاربران به طور مؤثری، سیگنال مخرب را تقویت می‌کند.

دو روش مخفی برای نفوذ

۱. حمله با صداهای ساختگی: مهاجم صداهای مهندسی‌شده مخصوصی را در حین تماس پخش می‌کند. این صداها طوری طراحی شده‌اند که سیستم لغو پژواک برنامه را دور می‌زنند. سپس مهاجم با تحلیل پژواک این صداها در محیط شما، محلتان را شناسایی می‌کند.

۲. حمله با صداهای روزمره: مهاجم از صداهای عادی محیط شما مثلاً وقتی اعلان ایمیل (رایانامه) یا زنگ تلفن شما به صدا درمی‌آید، سوءاستفاده می‌کند. این صداهای طبیعی هم می‌توانند اطلاعات مکانی شما را فاش کنند.

راه‌حل‌های در دست توسعه

وانگ و گروهش در حال توسعه راهکارهای زیر هستند:

الگوریتم‌های دفاعی برای شناسایی و حذف صداهای مشکوک؛

استقرار این سیستم در سِرورهای کنفرانس ویدیویی؛

روش‌های مقابله با توانایی مهاجمان برای شناسایی موقعیت مکانی کاربران.

این یافته‌ها بر اساس آزمایش‌های شش‌ماهه در ۱۲ مکان مختلف شامل خانه‌ها، دفاتر کار، خودروها و هتل‌ها به‌دست آمده است.