Wetenschappers hebben malware ontwikkeld die in staat is om via onhoorbare audiosignalen over een afstand van bijna 20 meter te communiceren. Via dit verborgen kanaal is het mogelijk om bestaande systeem- en netwerkbeveiliging te omzeilen, aldus de wetenschappers.

De malware werd ontwikkeld door Michael Hanspach en Michael Goetz van het Fraunhofer Institute for Communication, Information Processing and Ergonomics FKIE, die eind november dit rapport publiceerden waarin ze hun creatie bespreken. De wetenschappers zochten naar een verborgen kanaal tussen verschillende computers dat van audio-modulatie en demodulatie gebruik maakt om gegevens via de lucht uit te wisselen. De malware, die het systeem al eerder geïnfecteerd moet hebben, gebruikt hierbij de interne speaker en microfoon van de besmette computer.

Als basis voor hun communicatiesystemen gebruikten Hanspach en Goetz een systeem dat oorspronkelijk voor onderwatercommunicatie was ontwikkeld. Dit systeem is aangepast om via bijna ultrasonische frequenties te communiceren. Het systeem is niet alleen beperkt tot één computer. De wetenschappers demonstreren dat het zelfs mogelijk is om een verborgen akoestiek mesh-netwerk te ontwikkelen. Het netwerk zou in principe als een botnet functioneren dat via audio toegankelijk is en gebruikt kan worden om gegevens uit te wisselen.

Afstand

De wetenschappers deden verschillende proeven, waarbij het lukte om over een afstand van 19,7 meter berichten met een snelheid van 20 bits per seconde uit te wisselen. Het versturen van één frame vanaf de besmette computer naar de aanvallers nam 18 seconden in beslag. Gezien de lage bandbreedte is het dan ook onwaarschijnlijk dat de malware bruikbaar is voor het versturen van grote bestanden.

De onderzoekers stellen dat hun creatie wel te gebruiken is voor het versturen van inloggegevens. De malware die de wetenschappers ontwikkelden bestond dan ook uit een keylogger en een netwerk stack voor het opzetten van het verborgen communicatiekanaal. De buitgemaakte toetsaanslagen en inloggegevens zijn vervolgens via een systeem dat op het internet is aangesloten via een mailserver te versturen.

Air gaps

Het gebruik van audiosignalen door malware is een hot topic sinds beveiligingsonderzoeker Dragos Ruiu begin oktober beweerde dat hij zeer geavanceerde BIOS-malware had ontdekt, die over Software Defined Radio (SDR)-functionaliteit beschikte om 'air gaps' te overbruggen. Een air gap is de ruimte tussen het internet en een computer die hier niet op is aangesloten. Door het gebruik van SDR zou de malware nog steeds met de aanvallers kunnen communiceren, ook al is de besmette machine zelf niet met het internet verbonden. Het is echter nog altijd onduidelijk of de BIOS-malware van Ruiu daadwerkelijk bestaat.

De onderzoekers laten tegenover Ars Technica weten dat het volledige concept van air gaps als achterhaald kan worden beschouwd, aangezien zelfs standaardlaptops via de interne speaker en microfoon kunnen communiceren en een verborgen akoestiek mesh-netwerk kunnen vormen. Volgens de wetenschappers vormt het gebruik van deze akoestieke netwerken als verborgen communicatietechnologie dan ook een bedreiging voor de veiligheid van systemen.