O pesquisador de segurança da consultoria PWC no Reino Unido, Matt Wixey, demonstrou durante sua apresentação na Def con 2019, uma das maiores conferências hacker do mundo, que é possível manipular alto-falantes comerciais para usá-los como ciberarmas, fazendo com que emitam frequências que estão fora do alcance humano e que causam danos.
Vários estudos acadêmicos indicam que a exposição a frequências inaudíveis pode ter efeitos nocivos. No entanto, de acordo com Matt Wixey, "é surpreendentemente simples escrever um código malicioso personalizado que possa induzir uma grande variedade de alto-falantes integrados em dispositivos para emitir frequências inaudíveis para humanos com alta intensidade ou para emitir sons audíveis em alto volume", destaca o site Wired.
Interessado em malware que tem a capacidade de saltar entre o mundo digital e físico, Wixey realizou uma pesquisa como parte de seu doutorado que focou na possibilidade de desenvolver malware com a capacidade de gerar danos ao físico humano. Por isso, o pesquisador decidiu descobrir se era possível desenvolver código malicioso ou executar um ataque que possa emitir som acima do limite máximo permitido e, consequentemente, causar danos ou efeitos adversos às pessoas ao redor.
Portanto, depois de analisar a capacidade acústica dos alto-falantes incorporados em um grande número de dispositivos (computadores, telefones, fones de ouvido, etc.) e descobrir que vários têm uma proteção deficiente, o pesquisador escreveu código malicioso (em alguns casos um simples script e em outros casos, dependendo do dispositivo, um malware mais complexo) com o objetivo de manipular aos mesmos.
Após avaliar cada um dos alto-falantes em uma câmara anecoica, Wixey descobriu que os alto-falantes inteligentes, fones de ouvido e alto-falantes paramétricos analisados por ele eram capazes de emitir altas frequências que ultrapassavam o limite recomendado de acordo com estudos especializados. Além disso, alto-falantes Bluetooth, fones de ouvido com cancelamento e alto-falantes inteligentes também foram capazes de emitir frequências baixas que ultrapassaram os limites recomendados, explicou o site.
Uma vez que isso foi verificado, o pesquisador aproveitou a existência de vulnerabilidades e exploits para projetar códigos maliciosos para que os dispositivos pudessem emitir sons perigosos por longos períodos de tempo. Como explicou à BBC, como parte de seus testes, foram exploradas vulnerabilidades conhecidas que permitiram a realização de ataques que, em alguns casos, podem ser executados remotamente, enquanto que em outros seria necessário ter alguma proximidade com o dispositivo ou acesso físico.
Para reproduzir um dos ataques, o pesquisador utilizou um programa que procura redes Wi-Fi e Bluetooth conectados a alto-falantes vulneráveis e depois tentou tomar o controle sobre os dispositivos para transformá-los em instrumentos através dos quais poderia reproduzir estas frequências nocivas.
À medida que o mundo avança e o número de dispositivos interconectados aumenta, a superfície de ataque também aumenta. No relatório de Tendências 2019, Camilo Gutierrez, responsável pelo laboratório da ESET América Latina, explicou que "já vimos como os cibercriminosos usaram dispositivos IoT para realizar ataques de negação de serviço extensivos, mas à medida que mais dispositivos estiverem conectados e integrados à vida de todos, os atacantes continuarão explorando as características particulares de cada um deles para detectar outras vulnerabilidades e, assim, transportar ameaças como fraude ou ransomware", destacou Gutierrez. Como resultado desta pesquisa, devemos adicionar à lista de ameaças um possível ataque em que os alto-falantes se transformam em ciberarmas acústicas.