Недавно мы рассказывали о проекте, позволяющем передавать данные по WebRTC с помощью звука. Обсудим еще одну аудиотехнологию, которая уже занимает нишу бесконтактных платежей в супермаркетах, ресторанах и даже на транспорте.

Фотография: Mitya Ivanov. Источник: Unsplash.com
Фотография: Mitya Ivanov. Источник: Unsplash.com

Риски QR-кодификации

С момента появления в 90-х годах QR-коды нашли применение в торговле, производстве, логистике и в сфере финансов. Пожалуй, многие оплачивали услуги и счета в кафе и ресторанах, просто сканируя QR-код в квитанции или на чеке.

Некоторые страны вывели этот подход на новый уровень. В Китае более 85% платежей совершают с помощью двухмерных штрихкодов. В Индии ежемесячное количество таких транзакций превышает 250 млн — например, еще с 2018 года жители Дели могут приобрести билет на метро в мобильном приложении, а затем отсканировать сгенерированный QR-код у турникета. Индия и Сингапур даже планируют объединить национальные платежные системы, чтобы облегчить международные денежные переводы — с помощью все тех же QR-кодов.

Но несмотря на широкую популярность технологии, она имеет свои недостатки. Считывать QR-код не всегда удобно, особенно если сканер статический — иногда смартфон со штрихкодом на экране приходится передавать продавцу. Существуют и определенные риски с точки зрения информационной безопасности.

Чтобы скопировать QR-код, достаточно сделать его фото, что превращает его в легкую цель для мошенников. В то же время по внешнему виду кода сложно сказать, что произойдёт после сканирования. Злоумышленники пользуются этим, чтобы подсунуть ссылки на вредоносное ПО. Только в 2020-м QR-коды стали причиной кражи $18,5 млн по всему миру, а год назад аналитики McAfee внесли связанный с ними фишинг в топ ИБ-угроз.

Ряд компаний разрабатывает альтернативные технологии, лишенные приведенных недостатков. Одно из перспективных направлений — data-over-audio, когда информацию транслируют в зашифрованном виде по аудиоканалу.

Как звучат данные

Одна из компаний, работающих в этой нише, называется LISNR. Ее программное обеспечение кодирует данные в аналоговый сигнал с частотой от 14 до 19 кГц, то есть он может быть как слышим, так и неслышим для человеческого уха. Принимающая сторона улавливает сигнал с помощью микрофона и декодирует сообщение.

По словам разработчиков, технология позволяет транслировать данные со скоростью до 1000 бит/с. Еще одно решение, позволяющее осуществлять транзакции по звуковому каналу, называется Near Sound Data Transfer. За безопасность операций отвечает ЭЦП, которая формируется на основе одноразового пароля.

Что интересно, библиотеки для передачи данных с помощью звука предлагают и независимые разработчики. В качестве примера можно привести новый открытый проект ggwave. Библиотека позволяет анализировать звуковые волны, записанные аудиоустройствами. В то же время она совместима с различными архитектурами, включая ALSA и PulseAudio. Аналогичная разработка — Quiet Modem Project, которая построена на основе импульсно-кодовой модуляции.

Есть ли перспективы

Data-over-audio уже используют ретейлеры. Покупателю достаточно запустить приложение на смартфоне и поднести к считывающему устройству на кассе. Аналогичным образом уже можно оплатить проезд в автобусах.

Но есть особенности — аудиотехнология решает некоторые проблемы QR-кодов, связанные с информационной безопасностью, однако создает новые вызовы. Так, смартфон с акустическим QR-кодом превращается в ультразвуковой маячок. В теории его можно применить для слежки за перемещениями пользователя.

В то же время технология data-over-sound имеет ряд физических ограничений — в частности, она может быть чувствительна к фоновым шумам, а некоторые принимающие устройства просто не регистрируют неслышимую часть спектра.

Фотография: Proxyclick. Источник: Unsplash.com
Фотография: Proxyclick. Источник: Unsplash.com

В целом технология звуковых QR-кодов постепенно набирает обороты. Но можно предположить, что до массового распространения пройдет еще какое-то время. Разработчикам стоит уделить отдельное внимание защите персональных данных.

Как вы думаете, есть ли у технологии будущее, или ей суждено остаться нишевым продуктом?


Дополнительное чтение по теме в нашем «Мире Hi-Fi»:


Комментарии (37)


  1. me21
    08.02.2022 21:54
    +9

    История движется по спирали. Переизобрели модем.


    1. Rsa97
      08.02.2022 22:04
      +7

      Следующим будет факс — передача изображения QR-кода по аудиоканалу.


  1. FluD
    08.02.2022 22:17

    Может просто экраном помаргать?


    1. aamonster
      08.02.2022 22:55
      +1

      Посчитайте битрейт.

      А вообще было: когда-то давно продавались часы с записной книжкой, которая заполнялась с компьютера именно так (часы цеплялись на экран, софтина моргала – долго и печально).


      1. foreva
        10.02.2022 05:26

        Ага... .Чуть было не купил такие. Не помню, что удержало от этого безрассудства.


      1. klounader
        10.02.2022 11:38

        вероятно было бы быстрее использовать технологию на основе изменяющейся герцовки дисплея. а сейчас их больше 320Гц изобрели. в телефонах уже давно 120+Гц применяется.


        1. aamonster
          10.02.2022 15:04

          Но зачем?


          1. klounader
            11.02.2022 06:10

            так намного быстрее моргать экраном. а вообще еще на старых тачсмартфонах была функция, прикладываешь два телефона друг к другу дисплеями и данные передаются. я хз каким образом, не уточнял техническую часть, просто случайно обнаружил, когда заменял разбитый тач. эта функция прям микроконтроллера самого тача! но я смотрю, не взлетело чота.


            1. aamonster
              11.02.2022 09:22

              Нельзя намного быстрее, дисплей не обеспечивает (даже 320 Гц – очень мало... Вы модемом на 2400 пользовались когда-нибудь или не застали?)

              Проще светодиод воткнуть и мигать им так быстро, как хочется. Получаем инфракрасный порт :-)


              1. klounader
                11.02.2022 13:09

                для передачи заметок, контактов и прочих куаркодов этого более чем достаточно.


                1. aamonster
                  11.02.2022 13:39

                  Согласен. Я ж говорю – эта технология даже использовалась когда-то.

                  Но сейчас у нас есть камера и довольно жирный проц, так что QR-код удобнее (быстрее обрабатывается, не требует синхронизации типа "одному девайсу говорим передавать, другому говорим принимать"). А для бОльших объёмов данных – bluetooth и передача через интернет.
                  Звук, как в статье – скорей баловство, но всё ещё эффективнее моргания экраном.


  1. hecategram
    08.02.2022 22:18
    +1

    Ну да украсть QR код легко. А услышать его трудней Нужно не выдумывать чудеса а просто через маломощный ик светодиод на смартфон данные передавать.


    1. shushu
      08.02.2022 22:40

      Ну можно тогда уже и NFC использовать.

      И что вы подразумеваете под "украсть"? Вы на глаз QR коды декодируете?) Точно также, будут приложения которые помогут декодировать аудио.


      1. ibrin
        08.02.2022 23:27

        Не совсем украсть куар, но подменить. Фишинг же! А NFC сейчас дешевле некуда. А вообще, можно и блютус доработать под NFC, он вообще у всех есть.


        1. transcengopher
          08.02.2022 23:44
          +1

          Ни одна технология передачи от фишинга защитить полностью не способна — теми же средствами, которыми кто-то может подменить код, кто-то другой сможет подменить передачу по звуковому каналу, и вообще по любому другому.
          Минимальный риск из возможных здесь несёт только передача человекочитаемых ссылок — да хоть тех же URL, которые придётся распознавать машинным зрением. Их человек, по крайней мере, может как-то визуально проверить на соответствие ожиданиям — и, кстати, распознавание текста закроет одну из визуальных уязвимостей, когда буквы одного алфавита меняют на похожие буквы из другого.


          1. 13werwolf13
            09.02.2022 08:09

            Ни одна технология передачи от фишинга защитить полностью не способна

            "Полностью" вообще мало что возможно, но вот "подслушать" звуковой сигнал всё же проще чем подсмотреть qr код (это для тех ситуаций когда хочется чтобы о действии знали двое), а подменить qr хоть и можно незаметно, но всё же больше шансов "спалиться", в случае с аудио (которое ты ещё и не слышишь) нет гарантий что в нужный момент никто не перебил "более сильной колонкой" твой звук (ну как я это понимаю, не специалист в этом).

            тут мне кажется NFC всё ещё лучшим вариантом чем qr и аудио. Надёжнее пока только подцепляться проводом.


            1. transcengopher
              09.02.2022 11:58

              "Полностью" вообще мало что возможно, но вот "подслушать" звуковой сигнал всё же проще чем подсмотреть qr код

              Я с этим тоже согласен, и даже хотел написать первый комментарий именно про это, но тут уже был вот этот комментарий.


              тут мне кажется NFC всё ещё лучшим вариантом чем qr и аудио. Надёжнее пока только подцепляться проводом.

              QR-коды очень хорошо покрывают случай, когда некие статические сведения нужно передать с небольшими затратами энергии большому количеству получателей. Например, на заборе напечатать как часть рекламы. NFC тут тоже не очень хорошо применим, потому что требует активного передатчика, то есть на каждого получателя придётся тратить больше энергии. Кроме того, у NFC ограничена "пропускная способность" — в то время как QR-код, напечатанный на стене дома, сканировать одновременно может сколько угодно человек (которые могут эту стену видеть целиком). Ну и подключение по проводу — даёт только сохранность канала, при условии, что устройству на другом конце вы доверяете. Но если нет, то точно так же можно "случайно скачать вирус". Тут вон вроде недавно проскакивало предупреждение о пользовании публичными зарядками для телефона, потому что злоумышленники якобы смогут вместо обычного зарядного устройства вставить в корпус устройство, которое взломает телефон через ADB или что-то в этом духе.


              1. 13werwolf13
                09.02.2022 12:06

                о пользовании публичными зарядками для телефона

                я с собой долгое время (пока не потерял) возил специальный "удлиннитель" у которого с одного конца был "папа" а с другой "мама" типа microUSB. специально для такого случая когда прийдётся подпитаться от неизвестного источника. в этом шнурке не было data линии, только два контакта питания. но слава бг он мне так и не пригодился вплоть до смерти microusb и популяризации type-c.


                1. aamonster
                  11.02.2022 13:44

                  На той стороне мог быть не BadUSB, а 220 вольт (или ещё можно вспомнить такой девайс, как USB Killer).


                  1. 13werwolf13
                    11.02.2022 13:47

                    согласен, мой способ не от всего спасает

                    но сгоревший телефон всё же лучше чем украденные с телефона данные которые могут стоить сильно больше


              1. Nazar_Kam
                09.02.2022 23:11

                NFC тут тоже не очень хорошо применим, потому что требует активного передатчика

                А чем тогда плохи пассивные передатчики (NFC-стикеры), в которые, в теории, можно загнать ссылку?


    1. igor_carenko
      09.02.2022 04:25

      Гм, только подумал после комментария про заново изобретённый модем, что пора заново изобрести инфракрасный порт :)


  1. NeoCode
    08.02.2022 23:03
    +1

    Только чипирование и чипизация спасут мир.

    Вообще, столько всяких радиоканалов (BT, NFC, UWB), зачем еще аудио? С QR кодами хоть понятно - их распечатать можно, это реально преимущество по сравнению с любым активным передающим устройством. А звук чем лучше чем радио?


    1. vikarti
      09.02.2022 06:50

      Одно возможное использование.
      Играет радиостанция (возможно через интернет).
      Приложение радиостанции может определить и какая музыка (лицензированная библиотека которая по сути встроенный шазам) (с любого источника звука) и показывает пользователю всякие полезные для него (по мнению радиостанции) оповещения (за счет того что в аудиканал радиостанции внедрен сигнал).
      Да, пользователь конечно рад что у него в фоне распнозвалко висит и выкидывает попапы. Поставил ведь приложение.
      И да, такое в России делалось.


      1. INSTE
        09.02.2022 10:37
        +1

        Так RDS уже десятки лет существует.


  1. count_enable
    08.02.2022 23:09
    +2

    Преимущества qr - бумажный носитель, направленная передача, перехват затруднен. Что проще: тайно сфотографировать движущийся экран смартфона или подслушать звуковую передачу по воздуху? На глаз не видно куда QR ведёт, нет ли там троянов? Так и на слух передачу не декодируешь. QR универсальный и не требует электричества. Нарисовали QR на заборе и "передаём данные".


  1. agalakhov
    09.02.2022 00:11

    QR-код можно напечатать на коробке, в журнале, повесить на стену. Для остальных случаев уже есть NFC.


    1. vikarti
      09.02.2022 06:51

      Надо иметь модуль NFC. Не везде он есть.


      1. m0tral
        09.02.2022 23:15

        Сейчас практически везде, в дешёвых телефонах, браслетах и часах и это крайне удобно, так как не нужно никаких дополнительных действий, NFC всегда активен приложил и прошел, или забрал покупку и защищён лучше всего выше озвученного.


  1. thegriglat
    09.02.2022 11:45

    Тут дело в восприятии информации. QR и графика воспринимаются единомоментно, а звук -- во времени. Поэтому, очевидно, у изображений (QR) нет битрейта, а у аудио/видео -- есть.

    Поэтому количество информации в QR ограничено размером изображения, а в аудио -- временем. И аудио не взлетит, слишком долго ждать.

    Для мелкой инфы достаточно QR, а для большой -- более пропускные каналы (WiFi, Bluetooth, ...)


  1. serafims
    09.02.2022 11:55

    Ничего, скоро все косяки поправят, изобретут карты с магнитной полосой, потом с чипом, просто подождать надо.

    А проблема ИБ наступит сразу, как только мошенники увидят, что тут можно заработать.


  1. jakushev
    09.02.2022 11:58

    Не уверен, что для повседневного использования будет удобно. Так же — нет никакой гарантии, что дешевые смартфоны «вытянут» указанный диапазон частот. А вот для конфигурирования дешевых и относительно простых устройств — отличный метод. Я тут как то статью публиковал по этому поводу. Эксперименты прошли успешно, на 8MIPS 8-битном контроллере без умножения/деления работает на 100бод при 1:1 сигнал/шум. Это на «студенческой» версии Си компилятора, которая специально замедляет выполнение раза в 3, относительно коммерческой. Пока руки не дошли на ASM переписать, прикинул, на 2 MIPS контроллере без проблем заведу… Ну и цена вопроса — рублей 20, если в Ч-Д комплектующие покупать. И с любого устройства с динамиком и выходом в Сеть конфигурить можно.


  1. tsurugi-no_ken
    09.02.2022 12:02
    +1

    Вот, всякие мошенники открывшимся возможностям обрадуются!


  1. Nazar_Kam
    09.02.2022 12:06

    Тогда необходим взаимный звукообмен, когда не только терминал слушает, но и телефон слушает платёжный терминал. Тогда перехват будет значительно затруднительнее.

    Аналогично реализовать и с QR кодами можно. Например, сначала отсканируй на терминале, пусть даже статический, код. Уже на основе этого кода на телефоне можно генерировать одноразовый QR, который сканируется конкретным платёжным терминалом ограниченное время.


  1. K36
    09.02.2022 14:26

    QR код можно передать например через мессенджер.


  1. RA-NGR
    09.02.2022 20:45

    Насколько помню, протокол V.34 вытягивал на полосе в 3,5 кГц 33600 бод, а тут 5 кГц и 1000 бод ? Прорыв...


  1. Xo4y_3uMy
    10.02.2022 10:32

    Да ну...
    Странная штука. Для "билетки" вообще малоприменима. Шум, помехи. Кто-нибудь залипил динамик жвачкой и всё.... Опять же, относительно высокие частоты. У оного динамик сверху, у другого снизу. И микрофоны так же. Да еще этот зуд наверно будет слышен. Ну как зуд зарядок, скажем...

    Единственное применение, на первый взгляд, - управление всякой мелкой фигнёй в торговых центрах и рассылка массовой рекламы там же.

    аудиотехнология решает некоторые проблемы QR-кодов, связанные с информационной безопасностью, однако создает новые вызовы

    Да, да. У нас, значит, бравые разведчики, а у них - подлые шпионы. Так бы и написали: "Решает часть проблем, но добавляет кучу новых, которые сейчас непонятно как вообще решать"

    Хотя для системы общественного транспорта - единственный реальный путь приём ВСЕГО возможного (open-loop системы), чтоб и Mifare, и NFC, и QR (и показывать и сканировать), и банковские карты. Можно еще BLE попробовать (вон в Твери Датапакс обкатывает вроде)

    P.S. Хотя, я думаю, технология всё равно найдёт своё место. Раз уж придумали - надо её воткнуть куда-то. Опять же VISA вложилась... Так что, как минимум, с сертификацией проблем не будет.