Avlytting av høreapparater

Publisert: 19.03.2020

Kan egentlig digitale høreapparater være en vei inn for spioner? Hør Trond og "Theodor" snakke om temaet i denne ukens podcast.

Høreapparater i graderte møter

Som samfunn omgir vi oss stadig oftere med teknologi som krever tilkobling til omverdenen. Ikke bare elektronikk eller «smarte dingser» til hus og hytte, men i større grad kroppsbårne enheter som insulinpumper, pacemakere og høreapparater. Ser man på skadepotensialet vil en insulinpumpe eller pacemaker først og fremst ramme personen selv om disse skulle bli hacket, mens et høreapparat vil i ytterste konsekvens få følger for en hel verden.  NSM ønsker å belyse at å ta med høreapparater inn i graderte møter kan være problematisk. På den ene siden skal man ivareta konfidensialiteten til informasjonen som utveksles, mens man på den andre siden vanskelig kan utestenge personer med hørselstap fra en gradert arbeidshverdag. NSM understreker at personer med hørselsvansker ikke skal ekskluderes fra graderte møter, og at virksomheten heller må innføre andre sikringstiltak. 

Teksten er delt inn i tre deler: Del 1 sier noe om høreapparatet som avlyttingsenhet. Del 2 tar for seg de trådløse linkene. Del 3 omhandler leveransekjeder, mens del 4 presenterer NSMs råd for å redusere risikoen for avlytting. 

Del 1 – Høreapparatet som avlyttingsenhet 

Avlyttingsenheter kommer i mange former og fasonger, men felles for de alle er at de har en sensor som er kapabel til å fange opp lyd. For et høreapparat er denne sensoren en miniatyrisert mikrofon som er optimalisert for gjøre tale så forståelig som mulig for brukeren.  

Som del 2 kommer nærmere inn på så består høreapparater også av radioer for overføring av informasjon. Dette sammen med en god mikrofon og programvarestyrt prosessorer vil ha potensialet til å kunne fange opp lyd og sende dette ut til en avlytter. «Fordelen» med denne tilnærmingen er at avlytteren selv slipper å risikere å bli oppdaget dersom personen skulle forsøke å plassere ut utstyr i et møterom. Et tredje moment er at programvaren i seg selv også kan endres om noen skulle få tilgang. 

Ser man på hvilke krav en høreapparatprodusent stiller til funksjonalitet er det først og fremst kravene til lav forsinkelse og lite strømforbruk, ikke sikkerhet, som er gjeldene. Dette er lite betryggende sett fra et sikkerhetsperspektiv. 

Av Norges totale arbeidsstokk i 2019 i fulltidsstilling er det i dag 6,4% som rapporterer at de har hørselsvansker. Innad i gruppen rapporterer 34,2% at de bruker hørselshjelpemidler [1]. Det er grunn til å anta at denne gruppen vil øke i fremtiden og dermed også antall angrepsflater. 

Del 2 – Trådløse grensesnitt

I Norge i dag benytter man stort sett digitale høreapparater [2]. Disse kommer utelukkende med en eller annen form for trådløs kommunikasjon som muliggjør enten direkte kommunikasjon med en smarttelefon, via Bluetooth, eller indirekte via en streamer*. Dersom man benytter seg av høreapparater på begge ørene har enkelte modeller en trådløs øre-til-øre kommunikasjon som vil gi en økning i kvalitet, bedre taleforståelse og retningsopplevelse. I tillegg vil en audiograf ha mulighet til å koble seg til høreapparatene med en egen konfigurator. 

Figur1

Figur 1 Trådløse linker
 

Fra Figur 1 har vi i alt fem trådløse grensesnitt. Det er ingen felles enighet blant produsentene om hvilken trådløsteknologi som skal benyttes i de enkelte linkene, men generelt brukes Bluetooth-teknologien i linkene C, D og E, mens A- og B-linken i all hovedsak er en proprietær eller nærfeltslink. Bluetooth brukes også i et tilfelle for link B. Følgende avsnitt vil presentere Bluetooth-teknologien deretter vil det bli en kort gjennomgang av de proprietære teknologiene og nærfeltskommunikasjon.

Autentiseringsprotokoller i Bluetooth LE 4.2 Secure Connections

 

Autentiseringsprosedyrer

Egnethet

Forklaring

 

Numeric Comparison*

Lite egnet da høreapparat ikke har skjerm eller tastatur

Produserer en sekssifret kode som brukeren må verifisere at er lik på begge enheter. Behøver skjerm og tastatur for at brukeren kan verifisere 

Just Works

Godt egnet. Krever hverken display eller tastatur, men NSM anser ikke denne prosedyren som sikker nok.

Benytter samme fremgangsmåte som Numeric Comparison, men brukeren blir aldri vist verifikasjonstallet. Verten (mobiltelefonen) vil kun spørre om brukeren vil godta oppkoblingen.  

Out-of-Band

Lite egnet da krav til funksjonalitet i høreapparat trumfer sikkerhetskrav

Sender nøkkelinformasjon via et annet radiogrensesnitt. For at Bluetooth-linken skal være sikker må den andre radiolinken være kryptert. 

Passkey Entry

Lite egnet da høreapparat ikke har skjerm eller tastatur

Metoden krever at brukeren skriver inn en identisk kode på verten og høreapparatet. 

Tabell 1 Autentiseringsprotokoller i Bluetooth LE 4.0-4.2
*Numeric Comparsion om først i BLE 4.2.Det ble også gjort enkelte endringer i de andre prosedyrene.  

Det er først og fremst i paringsfasen mellom høreapparatene og mobiltelefon/streamer at en avlytter kan få tak i nøkkelrelatert informasjon som kan utnyttes. Avhengig av hvilken nøkkelutvekslingsstrategi høreapparatprodusentene har valgt vil brukeren nå bli involvert i større eller mindre grad for å verifisere at utvekslingen har gått riktig. Tabell 1 viser en oversikt over de fire forskjellige strategiene i Bluetooth LE 4.2-standarden. Det er verdt å merke seg at:

  • periferiutstyr som headset, hands-free og høreapparater generelt ikke har display eller tastatur og derfor vil bruke «Just Works»-prosedyren i autentiseringsfasen. 
  • på grunn av bakoverkompatibilitet vil eldre Bluetooth-produkter kunne tvinge nyere enheter til å bruke svakere sikkerhetsimplementasjoner**.

I tillegg til Bluetooth-teknologien er det flere produsenter som benytter seg av egne proprietære protokoller. Det er både fordeler og ulemper med dette. Fordelene er at produsentene selv kan tilpasse protokollene for å redusere lydforsinkelsen og minimere strømforbruk, bakdelen er at det som tidligere nevnt går på bekostning av sikkerhet. Kryptografiske prosesser vil i alle tilfeller føre til større forsinkelse og høyere strømforbruk. Det er derfor grunn til å tro at protokollene som produsentene har implementert ikke er godt nok sikret. Se Tabell 2 for en oversikt over de forskjellige produsentenes valg av bruksområde og frekvens. 

NSM erfarer at av de seks største produsentene så er det fire som benytter seg av Near Field Magnetic Induction, NFMI, som en overføringsteknologi fra streameren og mellom høreapparatene. I motsetning til Bluetooth og de proprietære kommunikasjonsteknologiene, som har en rekkevidde på noen 10-talls meter, har NFMI en rekkevidde på noen 10-talls centimeter. Markedsføringen av denne teknologien trekker blant annet frem at, fordi det magnetiske nærfeltet avtar hurtigere enn f.eks. Bluetooth og de proprietære kommunikasjonsteknologiene, så vil en avlytter måtte stå i nær tilknytning (<2m) til kilden, noe som vil drastisk øke faren for å bli oppdaget. Andre bruksområder for NFMI er å sammenkoble kroppsbårne audioenheter for militært personell. 

Produsent

Protokoll

Frekvens

Bruksområde

GN ReSound*

«3rd Generation 2.4GHz» (SmartRangeTM)

2.4GHz

Streamer til høreapparat

Oticon**

TwinLink (tidl. nEARlink)

2.4GHz

Streamer til høreapparat

Spatial Sound LX

3.84MHz

Binaural kommunikasjon og til streamer

Phonak

RogerTM

2.4GHz

Ekstern mikrofon

Binaural VoiceStream Technology

10.6MHz

Binaural kommunikasjon og til streamer

Signia

Ultra HD e2e/ e2e 3.0

3.272MHz

Binaural kommunikasjon og til streamer

Starkey

SurfLink/900syncTM

900MHz

Binaural kommunikasjon og til streamer

Widex

WiDEXLINK

10.6MHz

Binaural kommunikasjon og til streamer

Alle produsenter

Bluetooth (BR og LE)

2.4GHz

Handsfree, Streamer til telefon

Audiograftilpassing

Tabell 2 Oversikt over bruksområde for BLE, proprietære- og nærfeltskommunikasjonsteknologier (blå felt) for de seks største høreapparatprodusentene.

Del 3 – Leveransekjeder

Det er ikke bare den trådløse teknologien som kan skape sikkerhetsutfordringer. Fra design og spesifikasjonsfasen via produksjon og til audiografen har alle hver sine utfordringer. Det er mange steg på veien frem til brukeren har valgt og konfigurert et høreapparat. Figur 2 viser et eksempel på en leveranse- og servicekjede for et høreapparat som det er viktig å være klar over når man skal vurdere sikkerheten i produktet. Det må understrekes at figuren er forenklet utgave av virkeligheten.

For aktører som ønsker å utnytte høreapparater til avlytting vil det være aktuelt å påvirke designfasen, legge inn hardware (HW) som senere kan fungere som en hemmelig informasjonskanal og/eller injisere software (SW) som omgår sikkerhetsmekanismene i kjeden. For en trusselaktør som ønsker å påvirke flest mulig høreapparater vil det være mest hensiktsmessig å komme tidlig inn i kjeden, sammenlignet med de senere leddene hvor man kun klarer å påvirke ett til få apparater. 

Leveransekjeder

Figur 2 Eksempel på en leveranse- og servicekjede for et høreapparat

 

Del 4 – Beskyttelsestiltak 

Å beskytte seg mot avlytting via høreapparater er mest aktuelt i områder hvor man er i nær tilknytning til utenforstående, for eksempel i delte bygg. Dersom det er lengre avstand til områder hvor en avlytter kan etablere seg, for eksempel i en militærleir, vil det være mindre sannsynlig at man kan utnytte sårbarhetene i et høreapparat. 

For å redusere faren for uønsket avlytting i graderte møter anbefaler NSM

  • til enhver tid å ha kontroll på høreapparatene. 
  • å pare (evt. repare) enhetene i trygge omgivelser. 
  • å ha aktivert kvitteringslyd i høreapparatet som forteller om man har blitt koblet opp til en (ny) enhet. 
  • å bruke høreapparater med nærfeltskommunikasjon som overføringsteknologi mellom streamer og øre-til-øre kommunikasjon.
  • å skru av tilbehør (mobiltelefoner/streamere/Roger-penner o.l.) før man går inn i et møterom.
  • å ikke benytte seg av høreapparater med handsfree-funksjon eller på andre måter sender lyd direkte fra høreapparatet og til en annen enhet via fjernfeltskommuniasjon. 

I enkelte tilfeller kan det være aktuelt med ytterligere beskyttelsestiltak. Dette kan være i form av

  • Skjermbur/Faradaybur/anekoisk kammer.
  • Sikkerhetsklarert audiograf.
  • Skreddersydde høreapparater med egen programvare. 

 

Verdt å vite: 6. januar 2020 lanserte Bluetooth SIG (Special Interest Group) Bluetooth Core Specification v5.2. Dette dokumentet spesifiserer en metode for å streame lyd via Bluetooth Low Energy, noe som ikke har vært støttet i standarden tidligere. Med dette kommer også en ny profil for høreapparater, som NSM regner med vil nå markedet ila 2020.  

FORBEHOLD: For å gjøre teksten forståelig for flest mulig er det i enkelte tilfeller gjort forenklinger. 


*) Streamer er en elektronisk enhet som kan koble seg trådløst til høreapparatet (proprietær link) og også fungere som fjernkontroll og som relé mellom høreapparatet og en annen enhet (f.eks. mobiltelefon med blåtann). Streameren kan også ha egen mikrofon. 

**) Det er kun enkelte høreapparatprodusenter som har publisert at de bruker Bluetooth 4.2. Av sikkerhetsmessige hensyn må man derfor anta at de andre bruker eldre implementasjoner (Bluetooth LE 4.0 og 4.1).

 

Referanser

[1] European Hearing Instrument Manufacturers Association (Ehima). Results EuroTrak Norway 2019
hentet fra https://www.ehima.com/wp-content/uploads/2019/05/EuroTrak_2019_NORWAY.pdf 

[2] Hear-IT. Lest 05.03.2020. Norway. Hentet fra https://www.hear-it.org/hearing-loss-norway 

 

comments powered by Disqus