Neuer Angriff nutzt Bildschirmgeräusche zum Datenklau aus isolierten Computern
Ein neuer Seitenkanal-Angriff namens PIXHELL könnte ausgenutzt werden, um selbst von allen Netzwerken isolierte (air-gapped) Computer anzugreifen. Dabei wird die "Audio-Lücke" überwunden und sensible Informationen werden über das Rauschen der Pixel auf dem Bildschirm herausgeschleust.
Ein air-gapped Computer oder System ist ein Computer, der physisch vom Netzwerk getrennt ist. Das bedeutet, dass er keine direkte Verbindung zu anderen Computern oder Netzwerken, einschließlich des Internets, hat. Solche Systeme werden oft in sicherheitskritischen Bereichen verwendet, wo besonders sensible Daten verarbeitet oder gespeichert werden, wie zum Beispiel in militärischen Einrichtungen, Kraftwerken oder bei der Verwaltung hochvertraulicher Informationen.Um Daten von einem air-gapped System zu stehlen, müsste ein Angreifer physischen Zugang zu dem Computer erlangen oder spezielle Methoden nutzen, um die Isolation zu überwinden, wie etwa Seitenkanal-Angriffe, die physikalische Signale wie Licht, Wärme, elektromagnetische Wellen oder eben Geräusche ausnutzen.
Als Schutz vor der Ausnutzung von Geräuschen werden besonders sicherheitssensitive Systeme physisch oder softwareseitig von jeglichen Audioausgaben getrennt (Audio-Gap). Das bedeutet, dass keine Lautsprecher, Mikrofone oder andere Audio-Hardware mit dem Computer verbunden sind oder aktiviert werden können, um zu verhindern, dass akustische Signale zur Kommunikation oder Datenübertragung verwendet werden.
Im Kontext von Angriffen wie PIXHELL versucht der Angreifer, diese Sicherheitsmaßnahme zu umgehen, indem er akustische Geräusche nutzt, die auf nicht offensichtliche Weise entstehen, zum Beispiel durch Pixel auf dem Bildschirm. Diese Geräusche können unter Umständen zur Übertragung von Daten verwendet werden, ohne dass ein herkömmlicher Audiokanal wie ein Lautsprecher benötigt wird.
„Malware in den Air-Gap- und Audio-Gap-Computern erzeugt künstliche Pixelmuster, die Rauschen im Frequenzbereich von 0 bis 22 kHz erzeugen“, so Dr. Mordechai Guri, Leiter des Offensive Cyber Research Lab in der Abteilung für Software und Information Systems Engineering an der Ben-Gurion-Universität des Negev in Israel, in einem neu veröffentlichten Papier.
„Der bösartige Code nutzt den von Spulen und Kondensatoren erzeugten Schall aus, um die vom Bildschirm ausgehenden Frequenzen zu steuern. Akustische Signale können sensible Informationen verschlüsseln und übertragen.“
Der Angriff ist insofern bemerkenswert, als er keine spezielle Audio-Hardware, keinen Lautsprecher oder internen Lautsprecher auf dem angegriffenen Computer erfordert, sondern sich auf den LCD-Bildschirm verlässt, um akustische Signale zu erzeugen.
Air-Gapping ist eine wichtige Sicherheitsmaßnahme, die allerdings durch böswillige Insider oder durch eine Kompromittierung der Hardware- oder Software-Lieferkette umgangen werden kann. Ein anderes Szenario könnte darin bestehen, dass ein ahnungsloser Mitarbeiter ein infiziertes USB-Laufwerk einsteckt, um eine Malware zu installieren, die einen verdeckten Datenexfiltrationskanal auslöst.
Dr. Guri erklärt, dass Angreifer Phishing, böswillige Insider oder andere Techniken des Social Engineerings einsetzen können, um Personen, die Zugang zu einem überwachten System haben, dazu zu bringen, Aktionen auszuführen, die die Sicherheit gefährden – etwa durch das Klicken auf schädliche Links oder das Herunterladen infizierter Dateien.
Zusätzlich können Angreifer über die Software-Lieferkette vorgehen, indem sie Schwachstellen in Software-Anwendungen oder Drittanbieter-Bibliotheken ausnutzen. Durch das Einschleusen von bösartigem Code in diese Abhängigkeiten können sie Sicherheitslücken unbemerkt während der Entwicklungs- oder Testphase einschleusen.
Der PIXHELL-Angriff funktioniert ähnlich wie der kürzlich vorgestellte RAMBO-Angriff. Beide nutzen Malware, die auf einem kompromittierten System installiert ist, um einen akustischen Kanal zu schaffen, über den Informationen ausgespäht werden können.
Dies wird möglich, weil LCD-Bildschirme Bauteile wie Induktoren und Kondensatoren enthalten, die bei Stromfluss hörbare Geräusche erzeugen. Diese Bauteile vibrieren in hörbaren Frequenzen, wenn Strom durch sie fließt, ein Phänomen, das als Spulensummen oder -zirpen bezeichnet wird. Besonders weiße Pixel verbrauchen mehr Strom als dunkle, was mechanische Vibrationen und Geräusche verursacht.
Dr. Guri erklärt weiter, dass durch die Veränderung des Pixelmusters auf dem Bildschirm bestimmte akustische Wellen erzeugt werden. Diese Wellen werden durch die elektrischen Bauteile des Bildschirms erzeugt und von der Anordnung und Helligkeit der dargestellten Pixel beeinflusst. Ein Angreifer könnte die PIXHELL-Technik nutzen, um Daten über akustische Signale zu stehlen. Diese Signale werden dann von einem nahen Windows- oder Android-Gerät empfangen, das sie entschlüsselt und die gestohlenen Informationen extrahiert.
Die Stärke und Qualität dieser akustischen Signale hängen von der genauen Bauweise des Bildschirms ab, also davon, wie die Stromversorgung funktioniert und wo sich die Bauteile wie Spulen und Kondensatoren befinden.
Normalerweise ist der Angriff für den Benutzer sichtbar, da er ein auffälliges Muster aus schwarzen und weißen Linien auf dem Bildschirm anzeigt. Um unentdeckt zu bleiben, könnten Angreifer jedoch nachts senden, wenn niemand den Bildschirm beobachtet. Diese sogenannte „Nachtangriffs“-Strategie würde das Risiko, entdeckt zu werden, verringern.
Alternativ könnte der Angriff auch während der Arbeitszeit versteckt ablaufen, indem die Farben der Pixel stark gedimmt werden – so sieht der Bildschirm für den Nutzer fast schwarz aus. Allerdings wird dadurch auch die Tonerzeugung stark abgeschwächt, was die Effektivität des Angriffs reduziert. Zudem könnte ein aufmerksamer Nutzer die ungewöhnlichen Muster dennoch bemerken.
Es ist nicht das erste Mal, dass die „Audio-Lücke“ in einem Experiment überwunden wurde. Frühere Studien von Dr. Guri haben gezeigt, dass Geräusche von Computerlüftern, Festplatten, CD/DVD-Laufwerken, Netzteilen und sogar Tintenstrahldruckern verwendet werden können, um Daten zu exfiltrieren.
Als Gegenmaßnahmen wird empfohlen, einen akustischen Störsender einzusetzen, um die Übertragung der Signale zu blockieren. Außerdem sollte das Audiospektrum überwacht werden, um ungewöhnliche oder seltsame Geräusche zu erkennen. Der physische Zugang sollte nur autorisiertem Personal gestattet werden, und die Nutzung von Smartphones sollte verboten werden. Zusätzlich kann eine externe Kamera verwendet werden, um ungewöhnliche Muster auf dem Bildschirm zu erkennen, die auf einen Angriff hindeuten.
Weitere Artikel zum Thema: