
<div style="color:rgb(0, 0, 0);font-family:'Courier New', Courier, monospace;font-size:10pt"><p style="font-family: Arial, Helvetica, sans-serif; margin: 0.1rem 0; line-height: 1.1;"> </p>

</div>

<div>-----Original Message-----<br>From: Ray Dillinger <bear@sonic.net><br>Sent: Aug 28, 2024 12:23 PM<br>To: Cryptography Mailing List <cryptography@metzdowd.com><br>Subject: [Cryptography] Data exfiltration from attached peripherals<br>

<p style="font-family: Arial, Helvetica, sans-serif; margin: 0.1rem 0; line-height: 1.1;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Assume the existence of a dishonest IoT device manufacturer who is going all in on the "surveillance economy."  Yeah, I know, trivial assumption. We don't have to assume.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">They manufacture a smart TV with voice-activated features, putting a microphone in the owners' living rooms.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">In the usual case, the TV is installed with its own IP address and network capabilities, and they can get audio recordings of family arguments, private conversations about family finances, and lovemaking sessions delivered to their servers automatically. Along with content monitoring so they know what programming they're playing or reacting to.  Depending on who the owner is, this is likely to be a lucrative data stream.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">But now consider the case where someone buys the "smart TV," hooks it up to an HDMI cable, and uses it for a computer monitor. It doesn't have its own IP address.  Conversely, content monitoring (screen grabs) can now have devastating privacy implications since they reveal what someone is working on, financial spreadsheets, proprietary code, etc etc etc...</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Does that TV have any way to exfiltrate that data in the context of what network services it can get from a computer configured to treat it as a monitor?</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Same question for a printer, connected as a USB peripheral and NOT given its own IP address.  Are computer OS's these days so eager to put any connected printer on whatever network the computer is attached to, that the printer actually can request and get the ability to send packets to the wide internet even if it's not configured to be a network printer?</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">How about Mice, Keyboards, and USB/wireless peripherals in general? What network privileges can these devices obtain without too much trouble if malign supply-chain crooks want to exfiltrate data and can get someone to attach them to the computer?</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Bear</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">------------</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">"Smart" TV's are *already* watching you watch TV, even if only as a TV "monitor".</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">It's trivial to sample the HDMI data to find out what channel you're watching,</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">what streaming service you're watching, what OS (Android/FireTV/...) you're</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">using.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">If you have one of those "smart" LED displays that globally changes the overall</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">brightness to match the ambient room conditions, someone can sample just this</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">brightness level and still get most of the information.  Furthermore, since</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">the TV is measuring the surrounding light level, it can also spy on non-TV</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">content to some extent.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Of course, based upon your ratio of Fox v MSNBC, the spooks can probably tell who</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">you vote for.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">If you turn on subtitles, it's even easier.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">If you have a "smart" remote with voice capabilities, it's really pretty much</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">game over.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Note that a "real" microphone isn't necessary: only the ability to detect</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">vibration within a chip; if there's a piece of metal small enough to respond</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">to the frequencies of interest, its vibrations might be detectable.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">---</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">About 20 years ago, I was trying to think about how one could reduce the level</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">of spying, and was trying to think about what sort of display could take</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">advantage of the human visual system so that a *human* watching a program</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">could synthesize the correct picture, but -- e.g., a video camera -- would</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">get only garbage.  There might be some techniques involving faking out the</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">uniform sampling rate of video equipment vs the eye's ability to utilize</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">non-uniform sampling rates. Think some sort of spread spectrum technique.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">But I didn't know any visual psychologists to consult with, so I didn't come</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">to any hard conclusions.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">---</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">Re exfiltration:</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">There are long distance spread spectrum techniques that are *extremely effective*,</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">and take *very little RF power*. This is how NASA talks to interstellar probes</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">that have gone past the planet Pluto.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">If you're willing to reduce the exfiltration bit rate, the power can be reduced</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">almost arbitrarily.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">I'm aware of some water/gas *meter reading* systems that are battery-powered,</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">work *below ground*, whose battery can last *ten years*.  These systems have</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">an effective range of a small city.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">If someone has your home under observation -- e.g., using a long distance telescope,</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">an LED TV can adjust its brightness levels very quickly (and imperceptibly to the</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">human eye) in such a way as to get quite decent bit rates (at least audio quality).</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">This is how "LiFi" works.  With line-of-sight, it should be possible to transmit this</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">information 20 miles or more (i.e., within sight of a loitering drone).</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

<p style="margin: 0.1rem 0; line-height: 1.0;">This is why "smart LED bulbs" may also be worse idea ever invented: they can make</p>

<p style="margin: 0.1rem 0; line-height: 1.0;">absurdly cheap "bugs", once they have a microphone and the right software.</p>

<p style="margin: 0.1rem 0; line-height: 1.0;"> </p>

</div>