Sākumlapa » Apdraudējumi » Hakeri var izmantot ultraskaņu slepenai ierīču balss asistentu vadībai

Hakeri var izmantot ultraskaņu slepenai ierīču balss asistentu vadībai

Pētnieki kārtējo reizi ir nākuši klajā ar eksotisku kiberuzbrukumu veidu ar balsi vadāmām ierīcēm, sūtot ultraskaņas viļņus caur cietiem materiāliem, lai mijiedarbotos ar ierīcīm un kompromitētu tās, izmantojot nedzirdamas balss komandas.

 

 

ziņo The Hacker News, uzbrukumā, kas nosaukts par SurfingAttack, tiek izmantotas akustiskās pārraides īpašības cietos materiālos, piemēram, galda virsmās. Uzbrucējs var mijiedarboties ar ierīču balss asistentu, lai nolaupītu SMS divfaktoru autentifikācijas kodus un pat veiktu krāpnieciskus zvanus.

Pētījumu publicēja zinātnieku grupa no Mičiganas Valsts universitātes, Vašingtonas universitātes Sentluisā, Ķīnas Zinātņu akadēmijas un Nebraskas-Linkoinas universitātes. Rezultāti tika prezentēti pasākumā Network Distributed System Security Symposium (NDSS) 24. februārī Sandjego.

 

 

Lielākajā daļā ar balss vadību aprīkoto ierīču tiek lietoti tā saucamie MEMS mikrofoni. Jaunajā uzbrukumā tiek izmantots MEMS mikrofonu nelineārais raksturs, lai ierīcei liktu saklausīt cilvēkam nedzirdamos augstfrekvences skaņas viļņus. Tam pielietots 5 dolāru piezoelektriskais devējs, kas piestiprināts zem galda virsmas. Lai slēptu uzbrukumu no upura, pētnieki ar to pašu ultraskaņu noregulēja ierīces skaļumu pietiekami zemu, lai balss atbildes nebūtu pamanāmas.

 

 

Uzbrukums SurfingAttack tika pārbaudīts ar dažādām ierīcēm, kurās tiek izmantoti balss asistenti, tostarp Google Pixel, Apple iPhone un Samsung Galaxy S9, kā arī Xiaomi Mi 8, un tika atzīts, ka tās ir neaizsargātas pret ultraskaņas uzbrukumiem. Tika arī konstatēts, ka uzbrukums darbojas, neskatoties uz dažādu galda virsmu (piemēram, metāla, stikla, koka) un tālruņa konfigurāciju izmantošanu.

Tomēr SurfingAttack ne vienmēr ir sekmīgs. Pētniekiem nesekmējās ar Huawei Mate 9 un Samsung Galaxy Note 10+, no kuriem pirmais kļūst neaizsargāts, instalējot LineageOS. Galaxy Note 10+ iegūtās ultraskaņas komandu skaņas bija ļoti vājas un pētnieki kļūmi attiecināja uz “tālruņa korpusa struktūru un materiāliem”. Uzbrukums nedarbojas arī ar viedajiem skaļruņiem Amazon Echo un Google Home.

Lai gan līdz šim nav norāžu, ka uzbrukums būtu ļaunprātīgi izmantots savvaļā, šī nav pirmā reize, kad tiek atklāta šāda veida uzbrukumu iespējamība. SurfingAttack turpina uz nesenu pētījumu virkni – BackDoor, LipRead un DolphinAttack (lasiet arī: Nedzirdama skaņa liek balss asistentiem izpildīt komandas), kas parāda, ka ir iespējams izmantot mikrofonu nelinearitāti, lai ar ultraskaņas signālu palīdzību sistēmai piegādātu nedzirdamas komandas.

Turklāt Tokijā bāzētās Elektrokomunikāciju universitātes un Mičiganas universitātes pētnieki ir atklājuši uzbrukumus, kas nosaukti par Light Commands. Viņi izmantoja lāzerus, lai viedtālruņiem un viedajiem skaļruņiem piegādātu nedzirdamas komandas un slepeni liktu tiem atbloķēt durvis, iepirkties e-komercijas vietnēs un pat iedarbināt transportlīdzekļus.

Kamēr šī uzbrukuma laikā lāzera staram bija jāatrodas tiešā redzamības līnijā ar konkrēto mērķa ierīci, SurfingAttack šo vajadzību novērš, tādējādi ļaujot potenciālajam uzbrucējam attālināti mijiedarboties ar balss aktivizētu ierīci un izpildīt neatļautas komandas, lai piekļūtu sensitīvai informācijai bez upura ziņas.

Šādi pētījumi parāda iespējamus uzbrukumu vektorus un jācer, ka ierīču ražotāji ņems tos vērā.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 2 = 2

Uz augšu