โรงพยาบาลมีความเสี่ยง: การโจมตีด้วยสมาร์ทโฟนอาจปล่อยจุลินทรีย์ที่อันตรายถึงชีวิตได้

นักวิจัยแนะนำให้ลดเสียงหรือปิดพอร์ตแรงดันในโครงสร้างป้องกันเพื่อป้องกันการโจมตีทางดนตรีต่อสิ่งอำนวยความสะดวกด้านความปลอดภัยทางชีวภาพ มาตรการทั้งสองจะลดความไวของเซ็นเซอร์ความดันแตกต่าง

จากการศึกษาพบว่าสิ่งอำนวยความสะดวกในการบรรจุทางชีวภาพของโรงพยาบาลและห้องปฏิบัติการมีความเสี่ยงต่อการโจมตีของผู้ก่อการร้าย

ทีมนักวิจัยของ มหาวิทยาลัยแคลิฟอร์เนีย เออร์ไวน์ พบว่าห้องแรงดันลบซึ่งใช้ในโรงพยาบาลและห้องปฏิบัติการเพื่อป้องกันการแพร่กระจายของเชื้อโรคร้ายแรงสามารถถูกโจมตีโดยผู้โจมตีที่ใช้สมาร์ทโฟน ห้องเหล่านี้ได้รับการออกแบบมาเพื่อป้องกันการสัมผัสพื้นที่ภายนอกต่อจุลินทรีย์ที่เป็นอันตราย

ผู้เชี่ยวชาญด้านความปลอดภัยระบบไซเบอร์และกายภาพทางไซเบอร์ของ UCI ซึ่งเพิ่งแบ่งปันผลการวิจัยของพวกเขาในการประชุมเรื่องความปลอดภัยของคอมพิวเตอร์และการสื่อสาร กลไกที่ควบคุมการไหลเวียนของอากาศเข้าและออกจากสถานที่บรรจุชีวภาพสามารถถูกหลอกให้ทำงานผิดปกติได้ด้วยเสียงของความถี่เฉพาะ ซึ่งอาจซุกซ่อนอยู่ แฝงตัวเป็นเพลงฮิต

“ใครบางคนสามารถเล่นเพลงที่โหลดไว้ในสมาร์ทโฟนหรือส่งจากโทรทัศน์หรืออุปกรณ์เสียงอื่นๆ ในหรือใกล้กับห้องแรงดันลบ” Mohammad Al Faruque ผู้เขียนร่วมอาวุโส ศาสตราจารย์ด้านวิศวกรรมไฟฟ้าและวิทยาการคอมพิวเตอร์ของ UCI กล่าว . “หากเพลงนั้นฝังอยู่ในโทนเสียงที่ตรงกับความถี่เรโซแนนซ์ของตัวควบคุมแรงดันของหนึ่งในช่องว่างเหล่านี้ มันอาจทำให้เกิดการทำงานผิดปกติและการรั่วไหลของจุลินทรีย์ที่อันตรายถึงชีวิตได้”

โครงสร้างพื้นฐานการทำความร้อน การระบายอากาศ และการปรับอากาศช่วยรักษาการไหลของอากาศบริสุทธิ์เข้าและอากาศที่ปนเปื้อนออกจากพื้นที่ที่กำหนด ระบบ HVAC ในห้องปฏิบัติการทางวิทยาศาสตร์มักประกอบด้วยเครื่องวัดความดันในห้อง ซึ่งจะใช้เซ็นเซอร์ความดันแตกต่างที่เปรียบเทียบบรรยากาศภายในและภายนอกห้อง

นักวิจัยกล่าวว่า DPS ที่ใช้กันทั่วไปมีความเสี่ยงที่จะถูกจัดการจากระยะไกล ซึ่งเป็นภัยคุกคามที่ไม่เคยเกิดขึ้นมาก่อนต่อสิ่งอำนวยความสะดวกด้านความปลอดภัยทางชีวภาพ พวกเขาทดสอบสมมติฐานเกี่ยวกับ DPS มาตรฐานอุตสาหกรรม 8 รายการจากผู้ผลิต 5 ราย โดยแสดงให้เห็นว่าอุปกรณ์ทั้งหมดทำงานด้วยความถี่เรโซแนนซ์ในช่วงที่ได้ยิน ดังนั้นจึงอาจถูกดัดแปลงได้

“เมื่อคลื่นเสียงปะทะกับไดอะแฟรมภายใน DPS คลื่นเสียงจะเริ่มสั่นด้วยความถี่เดียวกัน” Anomadarshi Barua หัวหน้าทีมวิจัยจาก UCI Ph.D. กล่าว ผู้สมัครในสาขาวิศวกรรมไฟฟ้าและวิทยาการคอมพิวเตอร์ “ผู้โจมตีที่ทราบข้อมูลสามารถใช้เทคนิคนี้เพื่อเปลี่ยนไดอะแฟรมโดยไม่ได้ตั้งใจ เปลี่ยนการอ่านค่าความดัน และทำให้ระบบทั้งหมดทำงานผิดปกติ”

เขากล่าวว่าผู้โจมตีสามารถขัดขวางระบบห้องแรงดันลบได้หลายวิธี พวกเขาสามารถจัดการแบบไร้สายหรือสวมรอยเป็นเจ้าหน้าที่ซ่อมบำรุงเพื่อวางอุปกรณ์เสียงภายในหรือใกล้กับห้องดังกล่าว “การโจมตีที่ซับซ้อนกว่านี้อาจเกี่ยวข้องกับผู้กระทำความผิดที่ฝังเทคโนโลยีการเปล่งเสียงไว้ใน DPS ก่อนที่จะติดตั้งในศูนย์กักกันทางชีวภาพ” Barua กล่าว

ในการนำเสนอในการประชุม นักวิจัยได้แนะนำมาตรการตอบโต้หลายอย่างเพื่อป้องกันการโจมตีทางดนตรีต่อสิ่งอำนวยความสะดวกด้านความปลอดภัยทางชีวภาพ การลดเสียงทำได้โดยการยืดท่อเก็บตัวอย่างพอร์ตของ DPS ให้ยาวขึ้นถึง 7 เมตร ทีมงานยังเสนอการปิดพอร์ตแรงดันในโครงสร้างแบบกล่อง มาตรการทั้งสองนี้จะลดความไวของ DPS Barua กล่าว

Al Faruque กล่าวว่าโครงการวิจัยนี้แสดงให้เห็นถึงช่องโหว่ของระบบฝังตัวต่อการโจมตีแบบสุ่ม แต่เน้นว่าด้วยการวางแผนและการไตร่ตรองเพียงเล็กน้อย

เอกสารอ้างอิง: “หมาป่าในชุดแกะ: การแพร่กระจายเชื้อโรคร้ายแรงภายใต้การปลอมตัวของเพลงยอดนิยม” โดย Anomadarshi Barua, Yonatan Gizachew Achamyeleh และ Mohammad Abdullah Al Faruque, 7 พฤศจิกายน 2022, การดำเนินการของการประชุม ACM SIGSAC ปี 2022 เรื่องความปลอดภัยของคอมพิวเตอร์และการสื่อสาร
ดอย: 10.1145/3548606.3560643