MEMS pažeidžiamumas leidžia užgrobti balso pagalbininkus, įskaitant „Alexa“, „Google Home“ ar „Siri“

Virtualūs padėjėjai buvo sukurti atlikti įvairias užduotis, kad mūsų gyvenimas būtų lengvesnis. Bėgant metams jie labai pasikeitė, ir šiandien mes netgi turime tokių balso asistentų kaip „ Alexa“ ir „ Siri“, kurie gali valdyti kelis išmaniuosius įrenginius ir atlikti įvairias užduotis, gavę žodines komandas. Daugelis vartotojų juos naudoja norėdami klausytis muzikos, tikrinti orus ar apsipirkti internete. Žinoma, balso asistentas, norėdamas atlikti šias užduotis, turi turėti prieigą prie savo vartotojo paskyrų ir kitų išmaniųjų namų įrenginių. Taigi užgrobimas gali leisti užpuolikams apsipirkti aukos vardu, įjungti ir išjungti jo prietaisus ir pan. Deja, naujausios išvados atskleidė, kad elektroniniams nusikaltėliams gali net nereikia naudoti kenksmingų įrankių. Matyt, gali būti, kad įsilaužėlis gali perimti išmanųjį padėjėją lazerio žymeklio, garso stiprintuvo ir dar keleto dalykų pagalba. Norėdami sužinoti daugiau apie šį atradimą, kviečiame perskaityti visą mūsų tinklaraščio įrašą.

Nors kai kurie žmonės neįsivaizduoja savo gyvenimo be išmaniųjų namų, kai kurie vartotojai, bijodami dėl savo saugumo, vengia turėti per daug išmaniųjų įrenginių. Įvykiai, tokie kaip įvykis, kurio metu įsilaužėliai užpuolė „Nest“ fotoaparato savininkus ar „ Amazon“ išmaniųjų durų skambutyje aptiko pažeidžiamumą , tik įrodo, kad naudoti tokius įrenginius visada yra rizika. Tačiau turėti dar pavojingesnį prietaisą su balso pagalbininku, kuris gali būti prijungtas prie visų jūsų namuose esančių išmaniųjų prietaisų. Kibernetinio saugumo specialistai prieš kelis mėnesius įrodė, kad įsilaužėliai gali įdarbinti balso asistentus naudodamiesi kenkėjiškomis programomis šnipinėti jos vartotojus . Dabar atrodo, kad tyrėjai atrado balso padėjėjų išpuolį, kuris galėjo leisti kibernetiniams nusikaltėliams juos užgrobti ir nuveikti kur kas daugiau nei klausytis to, ką jūs sakote.

Kaip įsilaužėliai galėtų perimti išmaniuosius padėjėjus?

Pasak tyrėjų iš Elektrokomunikacijos universiteto ir Mičigano universiteto, kurie paskelbė straipsnį „ Šviesos komandos“: Balso valdomose sistemose lazeriu grįsti garso įpurškimo išpuoliai , užpuolikas gali piktnaudžiauti vadinamosiomis MEMS (mikroelektromechaninėmis sistemomis). ) pažeidžiamumą tokiuose įrenginiuose kaip „ Alexa“ , „ Portal“ , „ Google Assistant“ ir „ Siri“ . Atrodytų, kad šių įtaisų mikrofonai gali turėti minėtą silpnybę, ir tai galima išnaudoti naudojant tokius dalykus kaip lazerinis žymiklis, garso stiprintuvas, garso kabelis ir lazerio srovės tvarkyklė. Derinant šiuos dalykus gali būti įmanoma sukurti įrankį, kuris leistų įšvirkšti įrašytą komandą į balso padėjėją. Kitaip tariant, užpuolikai galėjo susisiekti su garso padėjėjais, paversdami šviesą garsu ir įvesdami įrašytas komandas per tikslinio įrenginio mikrofoną.

Ko reikia įsilaužėliams, norint atlikti lazeriu pagrįstas garso įpurškimo atakas?

Laimei, norint užgrobti įrenginį ir duoti vadinamąsias šviesos komandas, įsilaužėliams tektų pamatyti įtaisą, į kurį jie nukreipia, ir būti ne arčiau kaip 110 metrų atstumu. Taip pat tyrėjai sako, kad kai kuriais atvejais įsilaužėliams gali tekti būti dar arčiau, kad būtų išnaudotas MEMS pažeidžiamumas. Viskas priklauso nuo tikslinio įrenginio. Kalbant apie tai, ką užpuolikai gali padaryti, kai jie užgrobs jūsų balso padėjėją, gali priklausyti nuo to, kokius išmaniuosius įrenginius turite ir kokios paskyros yra susietos su jūsų balso padėjėju. Pvz., Jei susiejote „Alexa“ su savo „ Amazon“ paskyra, kad ji galėtų nusipirkti daiktų jums, užpuolikas gali tuo netinkamai naudotis, kad nusipirktų prekių sau. Gali atrodyti dar baisiau, kad užpuolikai gali apgauti jūsų išmaniųjų spynų PIN kodus ar net užvesti automobilį, jei jis yra susietas su jūsų garsiakalbiu.

Kaip apsaugoti savo balso pagalbininką nuo lazeriu veikiančių garso įpurškimo atakų?

Tyrėjai sako, kad mikrofonų atpažinimo mechanizmų nebuvimas yra tai, kas leidžia vykdyti sėkmingas garso įpurškimo lazeriu programas. Žinoma, specialistai, kurie tai atrado, jau pranešė apie MEMS pažeidžiamumą įmonėms, kuriančioms balsu kontroliuojamas sistemas. Tačiau gali prireikti laiko, kol jie supranta problemą ir randa būdą apsaugoti savo įrenginius nuo minėtų atakų. Todėl, kol tai neįvyks, gali tekti nustoti įsilaužėlius pačiam užgrobti balso padėjėją.

Kaip minėta anksčiau, tokių išpuolių sėkmė nereikalauja, kad vartotojai būtų apgaudinėjami atskleidžiant informaciją, kuri padėtų patekti į tikslinius įrenginius, arba mesti kenkėjiškas programas, kurios galėtų tai suteikti. Taigi šiuo atveju įprastos saugos priemonės, pvz., Stebėjimas dėl įtartinų programų ar neatsargus dalijimasis neskelbtina informacija, gali būti nenaudingos. Patartina, kad jūsų prietaisas būtų atokiau nuo palangių ar vietų jūsų namuose, kurios galėtų būti matomos per langus. Jei užpuolikai negali nukreipti lazerio į jūsų prietaiso mikrofoną, jūsų balso padėjėjas turėtų būti saugus.

Apskritai atradimas lazeriu pagrįstų garso įpurškimo atakų mums primena, kad nors protingi namai gali padaryti reikalus patogesnius ir linksmesnius, jie taip pat gali būti pavojingi. Tačiau tai nereiškia, kad turite atsisveikinti su savo išmaniaisiais namų įrenginiais, kad būtumėte saugūs. Tai, ką mes rekomenduojame, yra tai, kad jūs sužinosite, kaip pagerinti savo išmaniųjų namų saugumą . Be to, jūs visada turėtumėte žinoti apie naujausias kibernetinio saugumo naujienas, kad žinotumėte, kaip apsaugoti savo įrenginius nuo naujausių grėsmių.