דרך חדשה לרגל אחר הטלפון שלכם ממקום פחות צפוי

קבוצת חוקרים מאוניברסיטת סטנפורד ומרפאל מציגים כיצד ניתן להשתמש בחיישן הג׳ירוסקופ על מנת להאזין למשתמשים, מבלי שאלה יהיו מודעים לכך

מקור: Shutterstock

מקור: Shutterstock

אם עד היום רוב משתמשי אנדרואיד חששו לפרטיותם בשל רשימת ההרשאות המפלצתית שכל אפליקציה דורשת, כעת מסתמן כי גם ללא ההרשאות המתאימות, עדיין ניתן לנצל את המידע של המשתמש. קבוצת חוקרים ישראלית ואמריקאית הצליחו להוכיח כי ניתן לצותת למשתמשים גם ללא גישה למיקרופון המובנה במכשיר שלהם, אלא באמצעות גישה לאחד מהחיישנים ״התמימים״ ביותר בו: הג׳ירוסקופ.

מספיק רגיש על מנת לקלוט צלילים

על פי הדיווח המגיע מאתר Wired, קבוצת חוקרים מאוניברסיטת סטנפורד יחד עם קבוצת חוקרים מרפאל יציגו במהלך השבוע את הממצאים שלהם בוועידת האבטחה Usenix. הם מתכננים להראות כיצד ניתן להשתמש בסמארטפון על מנת לצותת ולהאזין למשתמשים ולשיחותיהם, באמצעות החיישן האחראי למדידת היציבות של המכשיר.

ההאזנה מתאפשרת הודות לתוכנה שיצרו החוקרים, לה קראו Gyrophone והודות לעובדה שהחיישנים רגישים מספיק על מנת לקלוט קלי קול. כלומר, התוכנה עוזרת להפוך את הג׳ירוסקופ למיקרופון גולמי ובניגוד למיקרופון המובנה במכשיר, כאן למשתמשים אין אפשרות לדעת או לבטל את השימוש וההרשאות בו ואינם יכולים למנוע גישה אליו על ידי אתרים או אפליקציות.

בפועל, הג׳ירוסקופ מורכב מלוח רוטט הנמצא על גבי שבב, וכאשר הכיוון של המכשיר משתנה כך נדחף הלוח לכיוון המתאים, תוך כדי זיהוי מקומו החדש. החוקרים מצאו שהלוח מסוגל לקלוט את התדירות של תנודות האוויר הדקות בתדר של 200 הרץ, או 200 פעמים בשניה. בהתחשב בעובדה שהקול האנושי נע בתדר בין 80 ל-250 הרץ, הבינו שהחיישן יכול לקלוט חלקים רבים משיחות המשתמשים.

התוכנה שבנו מסוגלת למפות ולזהות את המילים השונות וכאמור, לשמש כאמצעי ריגול אותו ניתן להפעיל לא רק באמצעות אפליקציות ייעודיות, אלא גם באתרים ״תמימים״ אליהם גולשים המשתמשים מידי יום.

עדיין לא איום ממשי

בצד החיובי, הגילוי והפיתוח הנוכחי הם יותר ״גימיקים״ מאשר שימושיים או כאלה המהווים סיכון, לפחות נכון לעכשיו. לדברי החוקרים, התוכנה עובדת מספיק טוב על מנת לזהות חצאי מילים, כל עוד הדובר נמצא קרוב אל מכשיר הסמארטפון המדובר ואינה קרובה ליכולות הציטוט הקיימות באמצעות שימוש במיקרופון המובנה של המכשיר.

במסגרת הבדיקה רצו לבחון החוקרים האם הם יכולים לקלוט את המספר 1 עד 10 ואת ההברה Oh, אלמנטים הדרושים לגניבת מספר כרטיס אשראי לדוגמה. בפועל, הצליחו לזהות 65 אחוזים מהספרות שנאמרו באותו החדר על ידי משתמש בודד שהגה אותן. עוד הצליחו החוקרים לזהות את מינו של הדובר בדיוק של 84 אחוזים, ויכלו גם להבדיל בין 5 דוברים שונים בחדר, כשאחוזי הדיוק שלהם עמדו על 65 אחוזים.

עם זאת, החוקרים מבהירים כי הזיהוי החלקי נובע מהעובדה שאינם מומחים לזיהוי קול, אלא מומחי אבטחה. כלומר, עבודה ופיתוח האלגוריתם שיצרו יוכל להפוך את הכלי החדש לכזה המסוגל לעקוב ולזהות ספרות, אותיות ודוברים בדיוק גבוה ביותר, אך זוהי אינה המטרה שלהם.

המטרה של החוקרים היא להציג לגוגל את הבעיה הקיימת, להוכיח לה עד כמה קל לתוכנות זדוניות או לאתרים שונים לקבל גישה לחיישנים ולצותת למשתמשים, מבלי שמודעים לכך.

מה עם משתמשי אפל?

בעוד שההתמקדות של המחקר הנוכחי הייתה על מכשירי אנדרואיד, גם במכשירי האייפון ניתן לקבל את הגישה הרצויה לחיישן ללא הרשאות או בקשות מהמשתמשים. עם זאת, אפל דאגה להגביל את יכולות הקריאה של החיישן ל-100 הרץ בלבד, מה שהופך את תהליך הריגול להרבה יותר קשה וכמעט בלתי אפשרי.

דפדפני כרום וספארי גם הם מגבילים את יכולות הקריאה של החיישן ל-20 הרץ בלבד, אך דפדפן פיירפוקס מעניק גישה מלאה ומקסימלית ב-200 הרץ. כלומר, אם אתם משתמשי אנדרואיד הגולשים בפיירפוקס, הסיכון עבורכם הוא הגבוה ביותר, במידה ומישהו יצליח לשים את ידיו על התוכנה המדוברת, כמובן.

בשורה התחתונה, כל מה שגוגל צריכה לעשות הוא להחיל את אותן הגבלות כמו אפל, או להתחיל לבקש הרשאות בעת גישה לחיישן, בדומה לשאר ההרשאות שדורשת במכשיריה באמצעות עדכון תוכנה, שישמור על אבטחתם של המשתמשים. לפחות עד שהפרצה הבאה תתגלה.

וידאו: Gyrophone: Recognizing Speech from Gyroscope Signals

מקור תמונה: Shutterstock / Unrecognizable woman holds her hand near ear and listens

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

4 תגובות על "דרך חדשה לרגל אחר הטלפון שלכם ממקום פחות צפוי"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מהנדס
Guest
משהו מאוד לא ברור פה: תחום התדר המקובל לדיבור כולל את כל התחום שבין 100 הרץ ל 4 קילוהרץ כאשר לאיכות דיבור נמוכה היה מקובל פעם להגביל גם ב2 קילוהרץ דגימה ב-200 הרץ משמעותה שניתן לזהות חד ערכית נתונים רק עד 200 הרץ (לפי נייקוויסט ובהנתן אות ממשי), אם אין פילטר מתאים (מכונה anti-aliasing), הרי שהנתונים שיתקבלו יהיו ריבוב של התדרים. מאוד ייתכן שאותם האקרים עדיין הצליחו להפריד בין מספר היפותיזות כפי שהם תיארו, הם תיארו הבחנה בין אחת מ 12 היפותיזות: אחת הספרות מ1 עד 10, ההברה Oh ושקט. עם הסתברות הצלחה די יפה של כ 65%. כנ”ל ביחס… Read more »
עוז אדרי
Guest

תודה רבה על התגובה המפורטת והמעניינת הזו!
מה שנותר הוא להבין אם הג’ירוסקופ, שכרגע מסוגל לקלוט את התדירות של תנודות האוויר הדקות בתדר של 200 הרץ, יהיה מסוגל, או אולי אפילו גם מסוגל באמצעות שינויים כאלו ואחרים, לקלוט גם תדרים אחרים…

עוז אדרי
Guest

עוד אחלה כתבה!
תודה רבה :-)

עדו
Guest

כתבה מעניינת.
הערה קטנה: “ציטוט” ב-ט’ = להביא מדבריו של מישהו (Quote).
במקרה של האזנת סתר יש לכתוב “ציתותײ ב-ת’.

wpDiscuz

תגיות לכתבה: