مقابل 3 دولارات فقط، يمكن للمهاجم أن يطلب بصمت من أي مساعد صوتي أن يفتح صفحة ويب ضارة.
يعمل الهجوم ضد مجموعة متنوعة من الأجهزة مع مساعدي Alexa وCortana وGoogle وSiri من خلال تحويل الأوامر الصوتية البشرية إلى تردد فوق صوتي أعلى من 20 كيلو هرتز.
ابتكر الباحثون طريقة لإعطاء تعليمات قد تكون ضارة لمعظم المساعدين الصوتيين المشهورين باستخدام أوامر صوتية لا يمكن للبشر سماعها.
وقد أكد الباحثون من جامعة تشجيانغ ذلك ما يسمى DolphinAttack يعمل ضد مجموعة متنوعة من الأجهزة مع مساعدي Siri وGoogle وCortana وAlexa.
كما قاموا بتطوير هجمات إثبات المفهوم لتوضيح كيف يمكن للمهاجم استغلال الأوامر الصوتية غير المسموعة، بما في ذلك التعليمات الصامتة يقوم Siri بإجراء مكالمة FaceTime على هاتف iPhone، ويطلب من Google تحويل الهاتف إلى وضع الطائرة، وحتى التلاعب بنظام الملاحة في أودي.
كما أن طريقة الهجوم المحمولة التي ابتكروها رخيصة للغاية، وتتطلب مضخم صوت ومحول طاقة بالموجات فوق الصوتية وبطارية بتكلفة 3 دولارات فقط. ومن المحتمل أن يكون الأسوأ من ذلك هو الهجوم عن بعد الذي يصفونه باستخدام هاتف الهدف الخاص لمهاجمة Google Home أو Echo.
"يمكن للخصم تحميل مقطع صوتي أو مقطع فيديو تكون فيه الأوامر الصوتية مضمنة في موقع ويب، على سبيل المثال، YouTube. عندما يتم تشغيل الصوت أو الفيديو بواسطة أجهزة الضحايا، يمكن التحكم في الصوت المحيط قد يتم تشغيل أنظمة مثل مساعد Google Home وAlexa والهواتف المحمولة دون وعي". يكتب.
ويعمل الهجوم عن طريق تحويل الأوامر الصوتية البشرية إلى تردد فوق صوتي أعلى من 20 كيلو هرتز، وهو أعلى تردد يمكن أن يسمعه الإنسان. ثم يقومون بعد ذلك بنقل التعليمات غير المسموعة إلى نظام التحكم الصوتي المستهدف.
يقول الباحثون إنهم تمكنوا من حقن أوامر صوتية سرية في سبعة أنظمة للتعرف على الكلام.
المصدر: جامعة تشجيانغ/يوتيوب
تشمل الأشياء المخادعة الأخرى التي يمكن للمهاجم القيام بها باستخدام أوامر صوتية غير مسموعة إجبار الجهاز على الفتح موقع ويب ضار، قم بتنشيط كاميرا الفيديو للتجسس على شخص ما، وتوجيه الجهاز لإرسال بريد عشوائي جهات الاتصال.
لا يستغل DolphinAttack ثغرة أمنية في أي نظام معين للتحكم الصوتي، بل يستغل الأجهزة الصوتية لكل نظام. نجح الهجوم ضد أجهزة iPhone وiPad وMacBook وApple Watch وAmazon Echo وSamsung Galaxy 6S Edge وLenovo ThinkPad الذي يعمل بنظام Cortana. وكان الجهاز الوحيد الذي تمكن من مقاومة الهجوم هو iPhone 6 Plus.
كان أحد القيود على المعدات التي جربوها هو أن المهاجم يجب أن يكون على مسافة مترين (6.5 قدم) من الأجهزة المستهدفة التي يتم التحكم فيها صوتيًا. ومع ذلك، فإنهم يقولون إن المسافة يمكن تمديدها بمعدات أفضل.
ووجدوا أيضًا أنه من الأصعب توجيه نظام للاتصال برقم هاتف معين أو فتح موقع ويب محدد مقارنة بالأوامر العامة مثل "تشغيل وضع الطائرة".
لقد ابتكروا أيضًا هجمات التعرف والتنشيط لحساب أوامر التنبيه الفريدة لكل نظام مختلف، مثل Hey Siri.
وللدفاع ضد هذا الهجوم، يقترح الباحثون عدم السماح للميكروفونات بالاستشعار الأصوات بترددات أعلى من 20 كيلو هرتز. لقد لاحظوا أن الميكروفون الموجود في iPhone 6 Plus تعامل مع هذا الأمر حسنًا.
التغطية السابقة وذات الصلة
يقول باحثون أمنيون إن اختراق Amazon Echo يمكن أن يجعل مكبر الصوت الخاص بك يتجسس عليك
وجدت الأبحاث التي أجرتها MWR InfoSecurity أنه من الممكن التلاعب بمكبرات الصوت القديمة من Amazon Echo وتحويل المساعدين المنزليين بشكل سري إلى أجهزة تنصت.
إنترنت الأشياء المُسلّحة: حان الوقت للتعامل مع أمان الأجهزة قبل فوات الأوان
يحتاج البائعون وتجار التجزئة والمستخدمون إلى العمل معًا "لتجنب الكارثة الرقمية" التي تسببها أجهزة إنترنت الأشياء غير الآمنة، حسبما تحذر مجموعة أمن التكنولوجيا.
خلل في نظام أمن المنزل يتيح للمتسللين تفعيل أجهزة الإنذار عن بعد
ويبدو أن الشركة تجاهلت التقرير الأمني بعد أشهر من تقديمه.
- يؤدي ازدهار التحكم الصوتي إلى مجموعة من الثغرات الأمنية
- هل يؤدي توصيل هاتفك بسيارتك إلى فتح مخاطر أمنية جديدة؟
- يمنع الباحثون مزودي خدمات الإنترنت من التجسس عبر أجهزتك الذكية
- يقول Sonos إنه يجب على المستخدمين قبول سياسة الخصوصية الجديدة وإلا فإن الأجهزة "قد تتوقف عن العمل"