Glowworm Attack: quando i LED "fanno la spia"

Gli attacchi di tipo TEMPEST sono noti da tempo e, per quanto complessi da portare avanti, sono un'efficace strumento di spionaggio, tanto che le agenzie di sicurezza nazionali come la NSA sono dotate di speciali apparecchiature proprio eliminare questo rischio. In questi casi, gli attaccanti cercano di sottrarre informazioni riservate osservando le radiazioni emesse dai dispositivi, come il cavo della tastiera o del monitor: analizzando queste informazioni, è possibile ricostruire quanto digitato o quello che viene visualizzato sullo schermo. I ricercatori del BGU Cyber Security Research Center della Ben-Gurion University di Negev hanno trovato un modo per ricostruire le conversazioni semplicemente analizzando le variazioni di intensità dei LED di alimentazione di dispositivi come casse per desktop, hub USB e via dicendo. Questo attacco prende il nome di Glowworm Attack.

Glowworm Attack: un nuovo modo di intercettare le conversazioni

I ricercatori Ben Nassi, Yaron Pirutin, Tomer Cohen Galor, Yuval Elovici e Boris Zadov hanno svelato un modo decisamente originale di intercettare una conversazione a distanza usando un attacco di tipo TEMPEST. Tutto quello che serve è serve è un sensore elettro-ottico, che va puntato contro i LED di uno dei dispositivi vulnerabili, come possono essere smart speaker, hub USB, casse da desktop, microcontroller e molto altro. 

Analizzando le micro variazioni dell'intensità luminosa, sono riusciti a intercettare quando riprodotto. Come è possibile? Il concetto è piuttosto semplice: il LED è solitamente collegato all'alimentazione e, di conseguenza, analizzando le variazioni di intensità è possibile stimare il consumo energetico e, applicando uno specifico algoritmo, anche ricostruire la conversazione. 

I ricercatori hanno mostrato empiricamente la loro teoria, riuscendo a intercettare comunicazioni da 15 metri con buona qualità. Aumentando la distanza, viene minata l'intelligibilità delle conversazioni, ma si ottengono risultati accettabili sino a circa 35 metri.

Quali sono i dispositivi vulnerabili al Glowworm Attack?

Tanti, tantissimi. La metà dei dispositivi messi alla prova dal team di sicurezza della Ben-Gurion University si è rivelata vulnerabile a questo attacco. Fra i dispositivi "poco sicuri" figurano:

• ​Google - Google Home Mini, Google Nest Audio
• Logitech - Z120 Speakers, S120 speakers
• JBL - JBL Go 2
• Sony - SRS-XB33, SRS-XB43
• Creative - Pebble speakers
• TP-Link - TP-Link UE330 USB splitter
• Miracase - Miracase USB splitter model MHUB500
• Raspberry Pi - 3, 4

I precedenti del Glowworm Attack

Il Glowworm Attack è solo l'ennesimo esempio di come un attaccante ben motivato può spiare a distanza comunicazioni riservate. Ben Bassi e altri ricercatori avevano già presentato una ricerca simile al convegno BlackHat USA del 2020, mostrando come fosse possibile ricostruire le conversazioni all'interno di una stanza analizzando le microfluttuazioni di una comune lampadina che venivano causate proprio dalle onde sonore. 

Va anche ricordato che già da tempo spie e investigatori privati usano dei semplici laser puntati contro una finestra per intercettare da remoto le conversazioni che avvengono all'interno di una stanza.