科學家開發出一種檢測筆記本電腦被竊聽的專門設備

對現代筆記本電腦的遠程隱私攻擊持續造成嚴重的社會問題。例如，遠程攻擊者通過注入惡意軟件控制攝像頭，通過禁用攝像頭的LED燈來暗中監視受害者。為了防范此類攻擊，用戶通常放置市面上可買到的網絡攝像頭隱私罩，從物理上屏蔽網絡攝像頭。類似問題呈惡化的趨勢，據報道也有針對筆記本電腦麥克風的攻擊——包括零日漏洞利用和潛入者安裝的惡意軟件，這些惡意軟件可以從受害者的筆記本電腦上悄悄竊聽。最近，流行的視頻通話應用程序(如Zoom)也發現了漏洞，即使會議已經結束，Zoom也能在Mac OS上捕捉音頻。不像網絡攝像頭外殼，沒有立即足夠的解決方案來防御基于麥克風的竊聽。

針對上述問題，新加坡國立大學和延世大學（韓國首爾）的科學家開發了一種設備，可以通過拾取特定的電磁信號來檢測筆記本電腦上隱藏的麥克風激活。研究人員將原型命名為TickTock，并在他們的最近發表的論文中詳細說明了它的工作原理。

TickTock原型由近場指示器、RF放大器、可編程收發器和Raspberry Pi 4 Model B 微型計算機組成。科學家們計劃將TickTock 實現為一種看起來像USB閃存驅動器那樣的設備。

據研究論文摘要，研究者目睹了對筆記本電腦遠程隱私攻擊的激增。這些攻擊通常利用惡意軟件遠程訪問網絡攝像頭和麥克風，以便監視受害用戶。雖然網絡攝像頭攻擊在一定程度上可以用廣泛使用的商業網絡攝像頭隱私保護罩進行防御，但不幸的是，盡管業界最近做出了努力，但沒有足夠的解決方案來阻止對麥克風的攻擊。作為防范這種攻擊筆記本電腦麥克風的第一步，作者提出了TickTock，一個新穎的麥克風開/關狀態檢測系統。為了實現這一點，TickTock從外部探測電磁(EM)輻射，這些輻射來自攜帶麥克風時鐘信號的筆記本電腦電路的連接器和電纜。這是可能的，因為麥克風時鐘信號只在麥克風記錄狀態時輸入，導致產生輻射。研究團隊設計并實現了一個概念驗證系統來演示TickTock的可行性。此外，研究者在總共30臺流行的筆記本電腦上全面評估了TickTock，并執行了各種應用程序，以成功檢測27臺筆記本電腦的麥克風狀態。其中，TickTock始終以高的真陽性率識別麥克風錄音。

被動檢測麥克風狀態的技術非常重要——如果可以密封網絡攝像頭，從而限制監視，那么關閉筆記本電腦內置的麥克風就非常困難。該方法基于這樣一個事實，即當麥克風打開時，將時鐘信號傳輸到模數轉換器 (ADC) 的電路開始閃爍。該背景噪聲泄漏被設備拾取并與其他系統噪聲分離。

值得注意的是，該設備并不完美：它必須適應不同的筆記本電腦型號，因為不同的型號使用不同的聲音芯片。此外，所有捕獲的 EM信號都包含來自其他電路的噪聲，必須將其濾除以避免錯誤觸發設備。

但盡管如此，測試還是成功了——TickTock方法在90%的測試筆記本電腦上都能完美運行，包括聯想、戴爾、惠普和華碩的熱門機型。例外的是Apple設備-Apple MacBook 2014、2017、2019，其中EM噪聲通過屏蔽鋁外殼和短柔性電纜抑制。

但該方法在智能手機、智能揚聲器、平板電腦和USB攝像頭上的測試并未取得如此成功——該設備僅在40個測試小工具中的21個上正常工作。研究人員將此歸因于使用模擬麥克風而不是數字麥克風、沒有功率限制以及發射電磁信號的導體較短。