Недавно мы рассказывали о проекте, позволяющем передавать данные по WebRTC с помощью звука. Обсудим еще одну аудиотехнологию, которая уже занимает нишу бесконтактных платежей в супермаркетах, ресторанах и даже на транспорте.
Риски QR-кодификации
С момента появления в 90-х годах QR-коды нашли применение в торговле, производстве, логистике и в сфере финансов. Пожалуй, многие оплачивали услуги и счета в кафе и ресторанах, просто сканируя QR-код в квитанции или на чеке.
Некоторые страны вывели этот подход на новый уровень. В Китае более 85% платежей совершают с помощью двухмерных штрихкодов. В Индии ежемесячное количество таких транзакций превышает 250 млн — например, еще с 2018 года жители Дели могут приобрести билет на метро в мобильном приложении, а затем отсканировать сгенерированный QR-код у турникета. Индия и Сингапур даже планируют объединить национальные платежные системы, чтобы облегчить международные денежные переводы — с помощью все тех же QR-кодов.
Но несмотря на широкую популярность технологии, она имеет свои недостатки. Считывать QR-код не всегда удобно, особенно если сканер статический — иногда смартфон со штрихкодом на экране приходится передавать продавцу. Существуют и определенные риски с точки зрения информационной безопасности.
Чтобы скопировать QR-код, достаточно сделать его фото, что превращает его в легкую цель для мошенников. В то же время по внешнему виду кода сложно сказать, что произойдёт после сканирования. Злоумышленники пользуются этим, чтобы подсунуть ссылки на вредоносное ПО. Только в 2020-м QR-коды стали причиной кражи $18,5 млн по всему миру, а год назад аналитики McAfee внесли связанный с ними фишинг в топ ИБ-угроз.
Ряд компаний разрабатывает альтернативные технологии, лишенные приведенных недостатков. Одно из перспективных направлений — data-over-audio, когда информацию транслируют в зашифрованном виде по аудиоканалу.
Как звучат данные
Одна из компаний, работающих в этой нише, называется LISNR. Ее программное обеспечение кодирует данные в аналоговый сигнал с частотой от 14 до 19 кГц, то есть он может быть как слышим, так и неслышим для человеческого уха. Принимающая сторона улавливает сигнал с помощью микрофона и декодирует сообщение.
По словам разработчиков, технология позволяет транслировать данные со скоростью до 1000 бит/с. Еще одно решение, позволяющее осуществлять транзакции по звуковому каналу, называется Near Sound Data Transfer. За безопасность операций отвечает ЭЦП, которая формируется на основе одноразового пароля.
Что интересно, библиотеки для передачи данных с помощью звука предлагают и независимые разработчики. В качестве примера можно привести новый открытый проект ggwave. Библиотека позволяет анализировать звуковые волны, записанные аудиоустройствами. В то же время она совместима с различными архитектурами, включая ALSA и PulseAudio. Аналогичная разработка — Quiet Modem Project, которая построена на основе импульсно-кодовой модуляции.
Есть ли перспективы
Data-over-audio уже используют ретейлеры. Покупателю достаточно запустить приложение на смартфоне и поднести к считывающему устройству на кассе. Аналогичным образом уже можно оплатить проезд в автобусах.
Но есть особенности — аудиотехнология решает некоторые проблемы QR-кодов, связанные с информационной безопасностью, однако создает новые вызовы. Так, смартфон с акустическим QR-кодом превращается в ультразвуковой маячок. В теории его можно применить для слежки за перемещениями пользователя.
В то же время технология data-over-sound имеет ряд физических ограничений — в частности, она может быть чувствительна к фоновым шумам, а некоторые принимающие устройства просто не регистрируют неслышимую часть спектра.
В целом технология звуковых QR-кодов постепенно набирает обороты. Но можно предположить, что до массового распространения пройдет еще какое-то время. Разработчикам стоит уделить отдельное внимание защите персональных данных.
Как вы думаете, есть ли у технологии будущее, или ей суждено остаться нишевым продуктом?
Дополнительное чтение по теме в нашем «Мире Hi-Fi»:
Комментарии (37)
FluD
08.02.2022 22:17Может просто экраном помаргать?
aamonster
08.02.2022 22:55+1Посчитайте битрейт.
А вообще было: когда-то давно продавались часы с записной книжкой, которая заполнялась с компьютера именно так (часы цеплялись на экран, софтина моргала – долго и печально).
foreva
10.02.2022 05:26Ага... .Чуть было не купил такие. Не помню, что удержало от этого безрассудства.
klounader
10.02.2022 11:38вероятно было бы быстрее использовать технологию на основе изменяющейся герцовки дисплея. а сейчас их больше 320Гц изобрели. в телефонах уже давно 120+Гц применяется.
aamonster
10.02.2022 15:04Но зачем?
klounader
11.02.2022 06:10так намного быстрее моргать экраном. а вообще еще на старых тачсмартфонах была функция, прикладываешь два телефона друг к другу дисплеями и данные передаются. я хз каким образом, не уточнял техническую часть, просто случайно обнаружил, когда заменял разбитый тач. эта функция прям микроконтроллера самого тача! но я смотрю, не взлетело чота.
aamonster
11.02.2022 09:22Нельзя намного быстрее, дисплей не обеспечивает (даже 320 Гц – очень мало... Вы модемом на 2400 пользовались когда-нибудь или не застали?)
Проще светодиод воткнуть и мигать им так быстро, как хочется. Получаем инфракрасный порт :-)
klounader
11.02.2022 13:09для передачи заметок, контактов и прочих куаркодов этого более чем достаточно.
aamonster
11.02.2022 13:39Согласен. Я ж говорю – эта технология даже использовалась когда-то.
Но сейчас у нас есть камера и довольно жирный проц, так что QR-код удобнее (быстрее обрабатывается, не требует синхронизации типа "одному девайсу говорим передавать, другому говорим принимать"). А для бОльших объёмов данных – bluetooth и передача через интернет.
Звук, как в статье – скорей баловство, но всё ещё эффективнее моргания экраном.
hecategram
08.02.2022 22:18+1Ну да украсть QR код легко. А услышать его трудней Нужно не выдумывать чудеса а просто через маломощный ик светодиод на смартфон данные передавать.
shushu
08.02.2022 22:40Ну можно тогда уже и NFC использовать.
И что вы подразумеваете под "украсть"? Вы на глаз QR коды декодируете?) Точно также, будут приложения которые помогут декодировать аудио.
ibrin
08.02.2022 23:27Не совсем украсть куар, но подменить. Фишинг же! А NFC сейчас дешевле некуда. А вообще, можно и блютус доработать под NFC, он вообще у всех есть.
transcengopher
08.02.2022 23:44+1Ни одна технология передачи от фишинга защитить полностью не способна — теми же средствами, которыми кто-то может подменить код, кто-то другой сможет подменить передачу по звуковому каналу, и вообще по любому другому.
Минимальный риск из возможных здесь несёт только передача человекочитаемых ссылок — да хоть тех же URL, которые придётся распознавать машинным зрением. Их человек, по крайней мере, может как-то визуально проверить на соответствие ожиданиям — и, кстати, распознавание текста закроет одну из визуальных уязвимостей, когда буквы одного алфавита меняют на похожие буквы из другого.
13werwolf13
09.02.2022 08:09Ни одна технология передачи от фишинга защитить полностью не способна
"Полностью" вообще мало что возможно, но вот "подслушать" звуковой сигнал всё же проще чем подсмотреть qr код (это для тех ситуаций когда хочется чтобы о действии знали двое), а подменить qr хоть и можно незаметно, но всё же больше шансов "спалиться", в случае с аудио (которое ты ещё и не слышишь) нет гарантий что в нужный момент никто не перебил "более сильной колонкой" твой звук (ну как я это понимаю, не специалист в этом).
тут мне кажется NFC всё ещё лучшим вариантом чем qr и аудио. Надёжнее пока только подцепляться проводом.
transcengopher
09.02.2022 11:58"Полностью" вообще мало что возможно, но вот "подслушать" звуковой сигнал всё же проще чем подсмотреть qr код
Я с этим тоже согласен, и даже хотел написать первый комментарий именно про это, но тут уже был вот этот комментарий.
тут мне кажется NFC всё ещё лучшим вариантом чем qr и аудио. Надёжнее пока только подцепляться проводом.
QR-коды очень хорошо покрывают случай, когда некие статические сведения нужно передать с небольшими затратами энергии большому количеству получателей. Например, на заборе напечатать как часть рекламы. NFC тут тоже не очень хорошо применим, потому что требует активного передатчика, то есть на каждого получателя придётся тратить больше энергии. Кроме того, у NFC ограничена "пропускная способность" — в то время как QR-код, напечатанный на стене дома, сканировать одновременно может сколько угодно человек (которые могут эту стену видеть целиком). Ну и подключение по проводу — даёт только сохранность канала, при условии, что устройству на другом конце вы доверяете. Но если нет, то точно так же можно "случайно скачать вирус". Тут вон вроде недавно проскакивало предупреждение о пользовании публичными зарядками для телефона, потому что злоумышленники якобы смогут вместо обычного зарядного устройства вставить в корпус устройство, которое взломает телефон через ADB или что-то в этом духе.
13werwolf13
09.02.2022 12:06о пользовании публичными зарядками для телефона
я с собой долгое время (пока не потерял) возил специальный "удлиннитель" у которого с одного конца был "папа" а с другой "мама" типа microUSB. специально для такого случая когда прийдётся подпитаться от неизвестного источника. в этом шнурке не было data линии, только два контакта питания. но слава бг он мне так и не пригодился вплоть до смерти microusb и популяризации type-c.
aamonster
11.02.2022 13:44На той стороне мог быть не BadUSB, а 220 вольт (или ещё можно вспомнить такой девайс, как USB Killer).
13werwolf13
11.02.2022 13:47согласен, мой способ не от всего спасает
но сгоревший телефон всё же лучше чем украденные с телефона данные которые могут стоить сильно больше
Nazar_Kam
09.02.2022 23:11NFC тут тоже не очень хорошо применим, потому что требует активного передатчика
А чем тогда плохи пассивные передатчики (NFC-стикеры), в которые, в теории, можно загнать ссылку?
igor_carenko
09.02.2022 04:25Гм, только подумал после комментария про заново изобретённый модем, что пора заново изобрести инфракрасный порт :)
NeoCode
08.02.2022 23:03+1Только чипирование и чипизация спасут мир.
Вообще, столько всяких радиоканалов (BT, NFC, UWB), зачем еще аудио? С QR кодами хоть понятно - их распечатать можно, это реально преимущество по сравнению с любым активным передающим устройством. А звук чем лучше чем радио?
vikarti
09.02.2022 06:50Одно возможное использование.
Играет радиостанция (возможно через интернет).
Приложение радиостанции может определить и какая музыка (лицензированная библиотека которая по сути встроенный шазам) (с любого источника звука) и показывает пользователю всякие полезные для него (по мнению радиостанции) оповещения (за счет того что в аудиканал радиостанции внедрен сигнал).
Да, пользователь конечно рад что у него в фоне распнозвалко висит и выкидывает попапы. Поставил ведь приложение.
И да, такое в России делалось.
count_enable
08.02.2022 23:09+2Преимущества qr - бумажный носитель, направленная передача, перехват затруднен. Что проще: тайно сфотографировать движущийся экран смартфона или подслушать звуковую передачу по воздуху? На глаз не видно куда QR ведёт, нет ли там троянов? Так и на слух передачу не декодируешь. QR универсальный и не требует электричества. Нарисовали QR на заборе и "передаём данные".
agalakhov
09.02.2022 00:11QR-код можно напечатать на коробке, в журнале, повесить на стену. Для остальных случаев уже есть NFC.
vikarti
09.02.2022 06:51Надо иметь модуль NFC. Не везде он есть.
m0tral
09.02.2022 23:15Сейчас практически везде, в дешёвых телефонах, браслетах и часах и это крайне удобно, так как не нужно никаких дополнительных действий, NFC всегда активен приложил и прошел, или забрал покупку и защищён лучше всего выше озвученного.
thegriglat
09.02.2022 11:45Тут дело в восприятии информации. QR и графика воспринимаются единомоментно, а звук -- во времени. Поэтому, очевидно, у изображений (QR) нет битрейта, а у аудио/видео -- есть.
Поэтому количество информации в QR ограничено размером изображения, а в аудио -- временем. И аудио не взлетит, слишком долго ждать.
Для мелкой инфы достаточно QR, а для большой -- более пропускные каналы (WiFi, Bluetooth, ...)
serafims
09.02.2022 11:55Ничего, скоро все косяки поправят, изобретут карты с магнитной полосой, потом с чипом, просто подождать надо.
А проблема ИБ наступит сразу, как только мошенники увидят, что тут можно заработать.
jakushev
09.02.2022 11:58Не уверен, что для повседневного использования будет удобно. Так же — нет никакой гарантии, что дешевые смартфоны «вытянут» указанный диапазон частот. А вот для конфигурирования дешевых и относительно простых устройств — отличный метод. Я тут как то статью публиковал по этому поводу. Эксперименты прошли успешно, на 8MIPS 8-битном контроллере без умножения/деления работает на 100бод при 1:1 сигнал/шум. Это на «студенческой» версии Си компилятора, которая специально замедляет выполнение раза в 3, относительно коммерческой. Пока руки не дошли на ASM переписать, прикинул, на 2 MIPS контроллере без проблем заведу… Ну и цена вопроса — рублей 20, если в Ч-Д комплектующие покупать. И с любого устройства с динамиком и выходом в Сеть конфигурить можно.
Nazar_Kam
09.02.2022 12:06Тогда необходим взаимный звукообмен, когда не только терминал слушает, но и телефон слушает платёжный терминал. Тогда перехват будет значительно затруднительнее.
Аналогично реализовать и с QR кодами можно. Например, сначала отсканируй на терминале, пусть даже статический, код. Уже на основе этого кода на телефоне можно генерировать одноразовый QR, который сканируется конкретным платёжным терминалом ограниченное время.
RA-NGR
09.02.2022 20:45Насколько помню, протокол V.34 вытягивал на полосе в 3,5 кГц 33600 бод, а тут 5 кГц и 1000 бод ? Прорыв...
Xo4y_3uMy
10.02.2022 10:32Да ну...
Странная штука. Для "билетки" вообще малоприменима. Шум, помехи. Кто-нибудь залипил динамик жвачкой и всё.... Опять же, относительно высокие частоты. У оного динамик сверху, у другого снизу. И микрофоны так же. Да еще этот зуд наверно будет слышен. Ну как зуд зарядок, скажем...
Единственное применение, на первый взгляд, - управление всякой мелкой фигнёй в торговых центрах и рассылка массовой рекламы там же.аудиотехнология решает некоторые проблемы QR-кодов, связанные с информационной безопасностью, однако создает новые вызовы
Да, да. У нас, значит, бравые разведчики, а у них - подлые шпионы. Так бы и написали: "Решает часть проблем, но добавляет кучу новых, которые сейчас непонятно как вообще решать"
Хотя для системы общественного транспорта - единственный реальный путь приём ВСЕГО возможного (open-loop системы), чтоб и Mifare, и NFC, и QR (и показывать и сканировать), и банковские карты. Можно еще BLE попробовать (вон в Твери Датапакс обкатывает вроде)
P.S. Хотя, я думаю, технология всё равно найдёт своё место. Раз уж придумали - надо её воткнуть куда-то. Опять же VISA вложилась... Так что, как минимум, с сертификацией проблем не будет.
me21
История движется по спирали. Переизобрели модем.
Rsa97
Следующим будет факс — передача изображения QR-кода по аудиоканалу.