Durante a conferência de segurança DEFCON 2019 em Las Vegas, nos EUA, um pesquisador de segurança da PWC UK chamado Matt Wixey demonstrou uma forma de criar malware que pode induzir alto-falantes conectados a vários tipos de dispositivos a produzir frequências inaudíveis de alta intensidade, ou frequências audíveis em alto volume, que tem o potencial para danificar a audição humana, causar tinitus ou até mesmo efeitos psicológicos.
Em seu estudo, Wixey analisou o potencial acústico de alto-falantes integrados a vários aparelhos, entre eles um notebook, um smartphone, uma caixa de som Bluetooth, um smart speaker, um par de fones de ouvido “over-ear” (que cobrem as orelhas), um alto-falante montado a um carro de som, um alto-falante piezoelétrico e um alto-falante paramétrico, que consegue concentrar o som em uma direção específica.
O pesquisador então escreveu código capaz de rodar em cada um dos dispositivos e os colocou em uma câmera anecóica (uma câmera isolada, onde os sons do mundo exterior não conseguem penetrar e revestida de forma a anular a produção de eco). Um decibelímetro foi colocado junto a cada dispositivo para medir o volume de som produzido, e um termômetro monitorava a temperatura dos aparelhos antes e depois de cada “ataque”.
Wizeu descobriu que o smart speaker, os fones de ouvido e o alto-falante paramétrico eram capazes de emitir altas frequências que excediam a média recomendada por várias publicações acadêmicas. Além disso, o alto-falante Bluetooth, o smart speaker e os fones de ouvido também foram capazes de produzir sons de baixa frequência que, novamente, excediam o recomendado. Sons em frequências muito baixas, por exemplo, podem produzir no corpo humano efeitos como náuseas, tontura, desorientação e um sentimento de ansiedade.
Além disso, o pesquisador conseguiu programar o smart speaker de forma que emitisse uma frequência que produziu calor suficiente para começar a derreter seus componentes internos após 4 ou 5 minutos, causando danos permanentes ao aparelho. Por segurança, Wixey não testou os ataques em humanos e prefere não identificar os aparelhos testados, nem divulgar o código que escreveu para o projeto. Entretanto, ele afirma que o fabricante do smart speaker foi informado da falha, e uma correção para o problema já foi disponibilizada para os usuários.
“Há muitas questões éticas, e queremos minimizar o risco”, disse ele. “Mas o lado positivo é que apenas uma pequena parte dos aparelhos que testamos poderia ser atacada e reprogramada para funcionar como armas acústicas”.
Segundo Wixey, há várias formas de impedir que nossos alto-falantes se virem contra nós. Fabricantes podem limitá-los fisicamente para que não possam produzir frequências inaudíveis, e os sistemas operacionais poderiam monitorar as entradas e saídas de som para filtrar frequências perigosas. Até mesmo anti-vírus poderiam ser usados para monitorar atividade suspeita nas interfaces de áudio.
Wixey aponta que a pior parte desta categoria de ataques é que na maioria dos casos as vítimas não teriam a menor idéia do que está acontecendo. “A não ser que você ande por aí com um decibelímetro, você nunca saberá exatamente a quê está sendo exposto”, disse ele.
Fonte: Wired