תוכנה זדונית יכולה לחלץ מידע משיחות במכשירי אנדרואיד
This post is also available in: 
English (אנגלית)
משתמשים שרוצים ביצועים יותר מתוחכמים מהסמארטפונים שלהם שמחים להשתמש בשפע של אפליקציות ותכונות מתקדמות, בעיקר למטרות בריאות ובידור, אבל מתברר שתכונות אלה עשויות לגרום לסיכוני אבטחה בעת ביצוע או קבלה של שיחות טלפון.
חוקרים מאוניברסיטת A&M בטקסס וארבעה מוסדות אחרים יצרו תוכנה זדונית בשם EarSpy, אשר משתמשת באלגוריתמים של למידת מכונה כדי לסנן פרטי שיחה מנתוני הרטט של רמקול האוזן (הקטן בחלקו העליון של המכשיר) שנרשמו על ידי חיישני תנועה של מכשירי אנדרואיד, מבלי צורך לפרוץ או להתגבר על שום אמצעי הגנה, או אפילו לקבל הרשאות משתמש.
אחמד טנוויר מחדאד, דוקטורנט במחלקה למדעי המחשב והנדסה באוניברסיטת טקסס A&M מסביר: "התקפה סטנדרטית על טלפון סלולרי מתחברת למיקרופון ומקליטה את הקולות. אנחנו מקליטים נתוני חיישני תנועה שאינם קשורים ישירות לדיבור, ומזהים מכך פרטי שיחה מהתקפה בערוץ צדדי".
על פי Techxplore, הרמקולים בחלק העליון של המכשיר הינם קטנים באופן מסורתי על מנת לייצר לחץ קול נמוך במהלך שיחות המשפר את בהירות השיחה כאשר הטלפון לחוץ אל האוזן של המשתמש. כיום, חלק מיצרני הסמארטפונים מחליפים אותם ברמקולים גדולים יותר כדי ליצור חוויית צלילי הסטריאו בעת צפייה בסרטונים. בגלל שטלפונים חכמים מצוידים בחיישני תנועה על מנת להקליט נתוני רטט ולעקוב אחר פעילות גופנית ומיקומים של משתמשים, תנודות של רמקול אוזן עשויות כעת להיות מוקלטות.
לצורך הניסוי, החוקרים בחרו שני סמארטפונים חדשים של אנדרואיד שהיו דומים בעיצובם והיו בעלי רמקולים חזקים לאוזן. לאחר מכן השמיעו קולות מוקלטים דרך הרמקולים בעצמה נוחה לשמיעת המשתמש, והשתמשו ב-EarSpy כדי לנתח את נתוני האקסלרטור של המכשיר.
הם מצאו כי EarSpy יכול לזהות אם הדובר הוא מתקשר חוזר בדיוק של 91.6% ולקבוע את מין הדובר בדיוק של 98.6%. EarSpy יכול גם לזהות ספרות מדוברות בדיוק של 56% הגבוה פי חמישה מאשר ניחוש אקראי.
משמעות הדבר היא כי משתמש עם תכנה זדונית זאת על המכשיר שלו יכול לדוגמה לדבר עם נציג בנק, וכאשר יתבקש לספק מספר זיהוי או פרטי אשראי התוקף יוכל לגשת לנתוני האקסלרטור של המכשיר "ולמשוך" אותם דרך חיבור אינטרנט על מנת לעבד אותם ולחלץ את המידע.
המחקר התמקד בסמארטפונים של אנדרואיד מכיוון שניתן לאחזר מהם נתוני חיישני תנועה ללא כל אישור מפורש מהמשתמש.
