កាលពីដើមខែនេះ The Hacker News បានចុះផ្សាយពីការស្រាវជ្រាវមួយដែលបង្ហាញពីរបៀបដែលកម្មវិធី Android ជាង១៣០០ កំពុងប្រមូលទិន្នន័យដែលងាយរងគ្រោះសូម្បីតែនៅពេលអ្នកប្រើប្រាស់បានបដិសេធយ៉ាងច្បាស់នូវសិទ្ធិដែលត្រូវការ។ ការស្រាវជ្រាវត្រូវបានផ្តោតជាចម្បងលើវិធីដែលអ្នកអភិវឌ្ឍន៍កម្មវិធីប្រើវិធីជាច្រើនដើម្បីប្រមូលទិន្នន័យទីតាំង អត្តសញ្ញាណទូរស័ព្ទ និងអាស័យដ្ឋាន MAC របស់អ្នកប្រើប្រាស់របស់ពួកគេដោយប្រើប្រាស់ទាំងបណ្តាញសម្ងាត់និងបណ្តាញចំហៀង។
ឥឡូវនេះ ក្រុមអ្នកស្រាវជ្រាវដាច់ដោយឡែកខាងសន្តិសុខតាមអ៊ីនធឺរណិតបានបង្ហាញជោគជ័យនូវការវាយប្រហារ side-channel ថ្មីមួយដែលអាចឱ្យកម្មវិធីព្យាបាទអាចលួចស្តាប់ការសន្ទនាចេញពីការបើកឧបករណ៍បំពងសម្លេងរបស់ទូរស័ព្ទរបស់អ្នកដោយមិនចាំបាច់មានការអនុញ្ញាតពីឧបករណ៍ណាមួយឡើយ។
ការរំលោភបំពានប្រព័ន្ធប្រតិបត្តិការ Android ល្បឿនដើម្បីចាប់យកទិន្នន័យពីការបើកឧបករណ៍បំពងសម្លេង
Dubbed Spearphone ជាការវាយប្រហារដែលបានបង្ហាញថ្មីទាញយកអត្ថប្រយោជន៍ពីឧបករណ៍ចាប់សញ្ញាចលនាដែលមានមូលដ្ឋានលើផ្នែករឹងដែលហៅថាឧបករណ៍វាស់ល្បឿនដែលត្រូវបានបង្កើតឡើងនៅក្នុងឧបករណ៍ Android ភាគច្រើនហើយអាចចូលបានដោយគ្មានការរឹតត្បិតដោយកម្មវិធីណាមួយដែលបានតំឡើងនៅលើឧបករណ៍ទោះបីជាមានសិទ្ធិសូន្យក៏ដោយ។ ឧបករណ៍វាស់ល្បឿនគឺជាឧបករណ៍ចាប់សញ្ញាចលនាដែលអនុញ្ញាតឱ្យកម្មវិធីតាមដានចលនារបស់ឧបករណ៍ដូចជាការផ្អៀង អង្រួន ការបង្វិល ឬការយោលចុះឡើងដោយវាស់អត្រាពេលវេលានៃការផ្លាស់ប្តូរល្បឿនដោយគោរពតាមទំហំឬទិសដៅ។
ចាប់តាំងពីឧបករណ៍បំពងសម្លេងដែលផលិតនៅក្នុងទូរស័ព្ទឆ្លាតវៃត្រូវបានគេដាក់នៅលើផ្ទៃដូចគ្នានឹងឧបករណ៍ចាប់សញ្ញាចលនាដែលបានបង្កប់ វាបង្កើតការឆ្លើយតបលើផ្ទៃនិងការនិយាយពីលើអាកាសនៅក្នុងតួទូរស័ព្ទនៅពេលដែលឧបករណ៍បំពងសម្លេងត្រូវបានបើក។ ការរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខ Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen – ការវាយប្រហារអាចកើតឡើងនៅពេលជនរងគ្រោះហៅទូរស័ព្ទឬវីដេអូតាមរបៀបនិយាយបំពងសម្លេងឬព្យាយាមស្តាប់ឯកសារប្រព័ន្ធផ្សព្វផ្សាយ ឬទាក់ទងជាមួយជំនួយការទូរស័ព្ទឆ្លាតវៃ។
ក្នុងនាមជាភស្តុតាងនៃគំនិត អ្នកស្រាវជ្រាវបានបង្កើតកម្មវិធី Android ដែលធ្វើត្រាប់តាមឥរិយាបថរបស់អ្នកវាយប្រហារដែលមានគំនិតអាក្រក់បានរចនាឡើងដើម្បីកត់ត្រាការនិយាយស្តីដោយប្រើឧបករណ៍វាស់ល្បឿនហើយបញ្ជូនទិន្នន័យដែលចាប់បានត្រលប់ទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ក្រុមអ្នកស្រាវជ្រាវនិយាយថា អ្នកវាយប្រហារពីចម្ងាយអាចពិនិត្យការអានដែលបានចាប់យកដោយប្រើដំណើរការសញ្ញារួមជាមួយបច្ចេកទេសរៀនម៉ាស៊ីន “ក្រៅប្រព័ន្ធ” ដើម្បីបង្កើតពាក្យនិយាយឡើងវិញនិងទាញយកព័ត៌មានពាក់ព័ន្ធអំពីជនរងគ្រោះដែលបានបម្រុងទុក។
ការវាយប្រហាររបស់ Spearphone: ចារកម្មលើការហៅ សារសម្លេងនិងពហុមេឌា
យោងតាមក្រុមអ្នកស្រាវជ្រា វការវាយប្រហាររបស់ Spearphone អាចត្រូវបានប្រើដើម្បីរៀនអំពីមាតិកាសម្លេងដែលបើលដោយជនរងគ្រោះ – ត្រូវបានជ្រើសរើសចេញពីវិចិត្រសាលឧបករណ៍នៅលើអ៊ីនធឺរណិតឬសម្លេងដែលទទួលបានពីកម្មវិធីផ្ញើសារដូចជា WhatsApp ។ អ្នកស្រាវជ្រាវពន្យល់ថា “ការវាយប្រហារដែលបានស្នើឡើងអាចស្តាប់បានតាមរយៈការហៅជា សម្លេងដើម្បីធ្វើឱ្យប៉ះពាល់ដល់ភាពឯកជននៃការនិយាយរបស់អ្នកប្រើចុងក្រោយពីចម្ងាយ” ។
“ព័ត៌មានផ្ទាល់ខ្លួនដូចជាលេខសន្តិសុខសង្គម ថ្ងៃកំណើត អាយុ ទិន្នន័យកាតឥណទាន ព័ត៌ មានគណនីធនាគារ។ល។ ភាគច្រើនទិន្នន័យមានលេខ។ ដូច្នេះ យើងជឿជាក់ថាដែនកំណត់នៃទំហំសំណុំទិន្នន័យរបស់យើងមិនគួរបន្ថយកម្រិតនៃការគំរាមកំហែងដែលបានដឹងពីការវាយប្រហាររបស់យើងឡើយ។ “អ្នកស្រាវជ្រាវក៏បានសាកល្បងការវាយប្រហាររបស់ពួកគេប្រឆាំងនឹងជំនួយការសម្លេងឆ្លាតវៃរបស់ទូរស័ព្ទរួមទាំងជំនួយការ Google និង Samsung Bixby ទទួលបានជោគជ័យនូវការឆ្លើយតប (លទ្ធផល) ចំពោះសំណួរអ្នកប្រើលើឧបករណ៍បំពងសម្លេងរបស់ទូរស័ព្ទ។
អ្នកស្រាវជ្រាវជឿជាក់ថាដោយប្រើបច្ចេកទេសនិងឧបករណ៍ដែលគេស្គាល់ ការវាយប្រហាររបស់ Spearphone មាន “តម្លៃសំខាន់ព្រោះវាអាចត្រូវបានបង្កើតឡើងដោយអ្នកវាយប្រហារដែលមានទម្រង់ទាប”។ ក្រៅពីនេះ ការវាយប្រហាររបស់ Spearphone ក៏អាចត្រូវបានប្រើដើម្បីកំណត់លក្ខណៈនិយាយរបស់អ្នកប្រើប្រាស់មួយចំនួនទៀតដែលរួមមានការធ្វើចំណាត់ថ្នាក់យេនឌ័រដែលមានភាពត្រឹមត្រូវជាង ៩០ ភាគរយនិងការកំណត់ការបំពងសម្លេងដែលមានភាពត្រឹមត្រូវជាង ៨០ភាគរយ។
អ្នកស្រាវជ្រាវបាននិយាយថា“ ឧទាហរណ៍ អ្នកវាយប្រហារអាចដឹងថាតើបុគ្គលណាម្នាក់ (អ្នកដែលស្ថិតក្រោមការឃ្លាំមើលដោយការអនុវត្តច្បាប់) បានទាក់ទងជាមួយម្ចាស់ទូរស័ព្ទនៅពេលនោះ”។ លោក Nitesh Saxena ក៏បានបញ្ជាក់ប្រាប់សារព័ត៌មាន The Hacker News ផងដែរថា ការវាយប្រហារនេះមិនអាចត្រូវបានប្រើដើម្បីចាប់យកសម្លេងរបស់អ្នកប្រើប្រាស់គោលដៅឬជុំវិញរបស់ពួកគេនោះទេពីព្រោះ “វាមិនមានឥទ្ធិពលគ្រប់គ្រាន់ដើម្បីប៉ះពាល់ដល់ឧបករណ៍ចាប់សញ្ញាចលនារបស់ទូរស័ព្ទជាពិសេសត្រូវបានផ្តល់ជូននូវអត្រាគំរូទាបដែលដាក់ដោយប្រព័ន្ធប្រតិបត្តិការ”។ ដូច្នេះក៏មិនជ្រៀតជ្រែកជាមួយការអានឧបករណ៍វាស់ល្បឿនទេ។
