Naukowcy zhakowali Siri, Alexę i Google Home, świecąc laserami

Najciekawszym rozwiązaniem w technologii mobilnej jest zastosowanie osobistego asystenta. Google Home, Amazon Alexa i Apple Siri upraszczają naszą pracę za pomocą polecenia głosowego. Ze wszystkich dobrych rzeczy, które może zrobić, trudno sobie wyobrazić, że ci osobiści asystenci głosowi są podatni na ataki hakerów.

Niedawny raport techniczny ujawnił, że hakerzy i napastnicy atakują tych cyfrowych asystentów głosowych za pomocą wiązek laserowych. Wprowadzają do urządzenia niesłyszalne i niewidoczne polecenia, które potajemnie podejmują działania na złośliwe polecenia, takie jak otwieranie drzwi, uruchamianie pojazdów, odblokowywanie poufnych stron internetowych itp.

Rzucając laserowe wiązki laserowe o niskiej mocy na system aktywowany głosem, napastnicy mogą łatwo włamać się z odległości około 360 stóp. Może to być możliwe, ponieważ w systemach nie ma wbudowanego mechanizmu uwierzytelniania użytkowników. Stają się więc łatwym celem dla hakerów. Nawet gdyby istniał jakikolwiek system uwierzytelniania, hakerzy nie będą mieli problemu z złamaniem kodu PIN lub hasła, ponieważ istnieje limit liczby prób lub domysłów, które użytkownicy mogą próbować.

Oprócz istniejącej luki w cyfrowych asystentach głosowych, hack oparty na świetle może zostać wprowadzony nawet z jednego budynku do drugiego. Ta technika włamań może być również wykorzystana do wykorzystania luki w mikrofonach. Mikrofony wykorzystują systemy Micro Electro Mechanical Systems (MEMS).

Te MEMS reagują na światło tak samo jak na dźwięk. Chociaż przedmiotem badań jest Google Home, Sri i Alexa, można śmiało stwierdzić, że wszystkie telefony, tablety i inne urządzenia działające na zasadzie MEMS mogą być podatne na takie lekkie ataki rozkazowe.

Czytać -Hakerzy wykorzystujący pliki audio WAV do wstrzykiwania złośliwego oprogramowania i kryptominerów

Oprócz siły wykorzystania luki, istnieją również pewne ograniczenia atakowania techniką opartą na świetle. Powiedzmy, że atakujący musi mieć bezpośrednią linię wzroku. W większości przypadków atak zakończy się sukcesem dopiero wtedy, gdy światło padnie na określoną część mikrofonu.

Jednak w przypadku światła laserowego na podczerwień może wykryć również pobliskie urządzenia. Badania wykazały, że ataki oparte na świetle reagują na polecenia głosowe, a także sugeruje, że może dobrze działać w środowiskach półrealistycznych. W przyszłości eksperci techniczni spodziewają się, że ataki te będą bardziej dotkliwe.

Uważamy, że w systemach VC często brakuje mechanizmów uwierzytelniania użytkowników lub jeśli mechanizmy są obecne, są one niewłaściwie zaimplementowane (np. pozwalają na brute-forsing przy użyciu kodu PIN).

Pokazujemy, w jaki sposób atakujący może użyć komend głosowych wstrzykniętych światłem, aby odblokować drzwi wejściowe chronione inteligentnym zamkiem, otworzyć drzwi garażowe, zrobić zakupy w witrynach e-commerce na koszt celu, a nawet zlokalizować, odblokować i uruchomić różne pojazdy (np. Tesli i Forda), jeśli pojazdy są połączone z kontem Google celu”. – jak napisano w raporcie badawczym zatytułowanym „Light Commands: Laser-Based Audio Injection Attacks on Voice Controlled Systems. ”