Varios investigadores descubren que los ratones de PC de gama alta pueden espiar conversaciones privadas
Investigadores de la Universidad Irvine de California (EE. UU.) han demostrado en una prueba de concepto que los ratones de ordenador de gama alta pueden utilizarse para espiar las conversaciones de voz de los usuarios de PC cercanos.
Dicha prueba, que ha recibido el pegadizo nombre de “Mic-E-Mouse” (ratón que emula un micrófono), la ingeniosa técnica descrita en Invisible Ears at Your Fingertips: Acoustic Eavesdropping via Mouse Sensors, está basada en el descubrimiento de que algunos ratones ópticos captan vibraciones sonoras increíblemente pequeñas que les llegan a través de la superficie de la mesa en la que se utilizan.
Diferentes tipos de software en ordenadores PC, Mac o Linux, incluidos programas de “espacio de usuario” sin privilegios, como navegadores web o motores de juegos, o, en su defecto, componentes con privilegios a nivel del núcleo del sistema operativo, ya son capaces de captarlas.
Si bien las señales captadas eran apenas perceptibles al principio, el equipo logró mejorarlas utilizando filtros estadísticos Wiener y de redes neuronales con el claro propósito de aumentar la intensidad de la señal en relación con el ruido.
El vídeo de demostración de este proceso muestra cómo el ratón extrajo palabras habladas de un flujo de datos espiado que al principio sonaba amortiguado de tal manera que parecía imposible distinguirlas.
Tal y como han reconocido los investigadores a través de un artículo, “nuestro canal Mic-E-Mouse permite transformar en audio completo las vibraciones detectadas por el ratón en el escritorio del usuario víctima, lo que facilita al atacante espiar conversaciones confidenciales”
Además, reconocen que este tipo de ataque sería indetectable para los defensores: “Este proceso es sigiloso, ya que la recopilación de señales de vibración es invisible para el usuario víctima y no requiere altos privilegios por parte del atacante”.
Debilidad del canal lateral
Esta técnica es el último ejemplo de un ataque de canal lateral, como lo demuestra un creciente número de investigaciones que analizan cómo los componentes utilizados para un fin determinado —por ejemplo, un ratón— pueden filtrar información de forma involuntaria.
Ahora, ¿es posible un ataque en condiciones reales basado en esta metodología?
La cuestión radica en la sensibilidad de los ratones actuales, así como en su frecuencia de sondeo (que es la medición en kHz del espacio de tiempo con el que muestrean el movimiento) y la resolución con la que detectan el movimiento, medida en puntos por pulgada (DPI).
Cuanto mayor es la frecuencia de sondeo y la resolución, más sensibles son los ratones al sonido. Eso da pie a los investigadores a explicar que, en última instancia, “estos avances implican un mayor uso de ratones vulnerables por parte de los consumidores, las empresas y las entidades gubernamentales, lo que amplía la superficie de ataque de las posibles vulnerabilidades de estas tecnologías de sensores avanzadas”.
Sin embargo, existen importantes salvedades que limitan el alcance de Mic-E-Mouse. Así, el nivel de ruido del entorno que se espía debe ser bajo, el grosor de los escritorios no debe ser superior a 3 centímetros, y el ratón ha de permanecer prácticamente inmóvil para aislar las vibraciones de la voz.
Los investigadores también utilizaron ratones con un DPI de al menos 20 000, significativamente superior al de los ratones medios utilizados en la actualidad.
En condiciones reales, la extracción de datos de voz sería posible, pero difícil. En ese caso, puede que los atacantes sólo pudieran capturar parte de la conversación, en lugar de todo lo que se dice.
Otra debilidad es que la defensa frente a este ataque no sería difícil: el uso de una almohadilla de goma o una alfombrilla debajo del ratón impediría la captación de las vibraciones.
No obstante, este hallazgo añade los ratones a la creciente lista de periféricos informáticos susceptibles de sufrir extracción de datos por canales laterales en circunstancias específicas.
Las investigaciones anteriores sobre los ataques por canales laterales de audio se centraron en gran medida en mover los datos en sentido contrario, de señales eléctricas a sonido, para escapar de redes aisladas. Por ejemplo, mediante el uso de altavoces como transmisores y receptores, o controlando los sonidos generados por las fuentes de alimentación de los ordenadores (PSU).
Las técnicas convencionales de espionaje consisten en colocar sensores de un tamaño casi imperceptible en lugares de gran valor, razón por la que, desde hace al menos veinte años, cada objeto que entra en la Capilla Sixtina es registrado de manera minuciosa en los cónclaves papales en busca de dispositivos de escucha ocultos.
(computerworld.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Gaming: Hardware (CPU, monitores, periféricos, placas madres, memorias, PSU (Power Supply Unit), tarjetas de video). UPS, Ciberseguridad y redes para gaming, Gaming Routers. Respaldo y contenidos. Buenas prácticas corporativas», que estamos preparando para nuestra edición 217 y publicaremos en el mes de octubre.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
