Luka w zabezpieczeniach MEMS umożliwia przejęcie asystentów głosowych, w tym Alexa, Google Home lub Siri

Wirtualni asystenci zostali stworzeni, aby wykonywać różne zadania, aby ułatwić nam życie. Przez lata wiele się zmieniły, a dziś mamy nawet asystentów głosowych, takich jak Alexa i Siri, którzy mogą kontrolować kilka inteligentnych urządzeń i wykonywać różne zadania po otrzymaniu poleceń ustnych. Wielu użytkowników używa ich do słuchania muzyki, sprawdzania pogody lub robienia zakupów online. Oczywiście, aby móc wykonywać te zadania, asystent głosowy musi mieć dostęp do kont użytkowników i innych inteligentnych urządzeń domowych. W ten sposób porwanie może pozwolić atakującym na zakupy w imieniu ofiary, włączanie i wyłączanie urządzeń itd. Niestety ostatnie ustalenia ujawniły, że cyberprzestępcy mogą nawet nie potrzebować do tego złośliwych narzędzi. Najwyraźniej haker może przejąć inteligentnego asystenta za pomocą wskaźnika laserowego, wzmacniacza audio i kilku innych rzeczy. Aby dowiedzieć się więcej o tym odkryciu, zapraszamy do zapoznania się z naszym pełnym postem na blogu.

Chociaż niektórzy ludzie nie wyobrażają sobie życia bez inteligentnych domów, niektórzy użytkownicy unikają zbyt wielu inteligentnych urządzeń w obawie o swoje bezpieczeństwo. Wydarzenia takie jak ta, podczas której hakerzy zaatakowali właścicieli aparatu Nest lub odkrycie luki w inteligentnych dzwonkach do drzwi Amazon , tylko dowodzą, że korzystanie z takich urządzeń zawsze stanowi ryzyko. Jednak posiadanie urządzenia z asystentem głosowym, które może być podłączone do wszystkich inteligentnych gadżetów w domu, może być jeszcze bardziej niebezpieczne. Kilka miesięcy temu specjaliści od cyberbezpieczeństwa udowodnili, że hakerzy mogą zatrudniać asystentów głosowych za pośrednictwem złośliwych aplikacji w celu szpiegowania użytkowników . Wygląda na to, że badacze odkryli atak na asystentów głosowych, który może pozwolić cyberprzestępcom na ich porwanie i zrobienie czegoś więcej niż słuchanie tego, co mówisz.

Jak hakerzy mogli przejąć inteligentnych asystentów?

Według naukowców z University of Electro-Communications i University of Michigan, którzy opublikowali artykuł zatytułowany Light Commands: Laser-Based Audio Injection Attacks on Voice-Controlled Systems , osoba atakująca może niewłaściwie używać tak zwanego MEMS ( systemy mikroelektromechaniczne ) podatność na ataki urządzeń takich jak Alexa , Portal , Google Assistant i Siri . Wydawałoby się, że mikrofony w tych gadżetach mogą mieć wspomnianą słabość i można je wykorzystać, wykorzystując takie rzeczy, jak wskaźnik laserowy, wzmacniacz audio, kabel audio i sterownik prądu lasera. Łącząc te rzeczy, może być możliwe stworzenie narzędzia, które umożliwiłoby wstrzyknięcie nagranego polecenia do asystenta głosowego. Innymi słowy, osoby atakujące mogą komunikować się z asystentami audio, przekształcając światło w dźwięk i wstrzykując nagrane polecenia za pomocą mikrofonu docelowego urządzenia.

Czego potrzebują hakerzy, aby przeprowadzić laserowe ataki audio?

Na szczęście, aby porwać urządzenie i wydać tak zwane lekkie polecenia, hakerzy musieliby zobaczyć gadżet, na który są atakowani, a także znajdować się w odległości do 110 metrów lub mniej. Ponadto naukowcy twierdzą, że w niektórych przypadkach hakerzy mogą być jeszcze bliżej, aby wykorzystać lukę w MEMS. Wszystko zależy od docelowego urządzenia. Jeśli chodzi o to, co mogą zrobić osoby atakujące po przejęciu asystenta głosowego, może to zależeć od rodzaju posiadanych urządzeń inteligentnych i rodzaju kont powiązanych z asystentem głosowym. Na przykład, jeśli połączyłeś Alexę ze swoim kontem Amazon, aby mogła kupować rzeczy dla ciebie, atakujący mógłby niewłaściwie wykorzystać to do zakupu towarów dla siebie. Jeszcze bardziej przerażające może być to, że napastnicy mogą użyć kodów PIN brutalnych blokad inteligentnych zamków, a nawet uruchomić samochód, jeśli jest podłączony do głośnika.

Jak zabezpieczyć asystenta głosowego przed laserowymi atakami audio?

Naukowcy twierdzą, że brak mechanizmów uwierzytelniania w mikrofonach umożliwia skuteczne przeprowadzanie ataków laserowych ataków dźwiękowych. Oczywiście specjaliści, którzy to odkryli, powiadomili już firmy tworzące systemy sterowane głosem o usterce MEMS. Jednak może upłynąć trochę czasu, zanim w pełni zrozumieją problem i znajdą sposób na ochronę swoich urządzeń przed wspomnianymi atakami. Dlatego dopóki to się nie stanie, być może będziesz musiał powstrzymać hakerów przed przejęciem asystenta głosowego.

Jak wspomniano wcześniej, sukces takich ataków nie polega na nakłonieniu użytkowników do ujawnienia informacji, które pomogłyby uzyskać dostęp do docelowych urządzeń lub porzucić złośliwe aplikacje, które mogłyby je udzielić. Dlatego też w tym konkretnym przypadku zwykłe środki ostrożności, takie jak uważanie na podejrzane aplikacje lub niedostosowanie poufnych informacji w sposób niedbały. Zamiast tego zaleca się trzymanie urządzenia z dala od parapetów lub miejsc w domu, które mogłyby być widoczne przez okna. Jeśli napastnicy nie mogą skierować lasera na mikrofon urządzenia, asystent głosowy powinien być bezpieczny.

Ogólnie rzecz biorąc, odkrycie ataków polegających na wstrzykiwaniu dźwięku za pomocą lasera przypomina nam, że chociaż posiadanie inteligentnego domu może sprawić, że będzie ono wygodniejsze i przyjemniejsze, może być również niebezpieczne. Jednak nie oznacza to, że musisz się pożegnać ze swoimi inteligentnymi urządzeniami domowymi, aby być bezpiecznym. Zamiast tego zalecamy, abyś nauczył się, jak zwiększyć bezpieczeństwo swojego inteligentnego domu . Poza tym zawsze powinieneś być na bieżąco z najnowszymi wiadomościami na temat cyberbezpieczeństwa, abyś wiedział, jak chronić swoje urządzenia przed najnowszymi zagrożeniami.