Für nur 3 US-Dollar kann ein Angreifer jeden Sprachassistenten stillschweigend anweisen, eine schädliche Webseite zu öffnen.
Der Angriff wirkt gegen eine Vielzahl von Hardware-Assistenten wie Alexa, Cortana, Google und Siri, indem er menschliche Sprachbefehle in eine Ultraschallfrequenz über 20 kHz umwandelt.
Forscher haben eine Methode entwickelt, um den gängigsten Sprachassistenten mithilfe von Sprachbefehlen, die für Menschen nicht hörbar sind, potenziell schädliche Anweisungen zu geben.
Die Forscher der Zheijiang-Universität haben das bestätigt ihr sogenannter DolphinAttack Funktioniert auf einer Vielzahl von Hardware mit den Assistenten Siri, Google, Cortana und Alexa.
Sie haben auch Proof-of-Concept-Angriffe entwickelt, um zu veranschaulichen, wie ein Angreifer unhörbare Sprachbefehle ausnutzen kann, einschließlich stiller Anweisungen Siri soll einen FaceTime-Anruf auf einem iPhone tätigen, Google anweisen, das Telefon in den Flugmodus zu schalten, und sogar das Navigationssystem manipulieren Audi.
Eine von ihnen entwickelte tragbare Angriffsmethode ist außerdem äußerst kostengünstig und erfordert einen Verstärker, einen Ultraschallwandler und eine Batterie, die nur 3 US-Dollar kosten. Potenziell noch schlimmer ist ein von ihnen beschriebener Fernangriff, bei dem das eigene Telefon des Ziels verwendet wird, um Google Home oder ein Echo anzugreifen.
„Ein Angreifer kann einen Audio- oder Videoclip, in den die Sprachbefehle eingebettet sind, auf einer Website, z. B. YouTube, hochladen. Wenn das Audio oder Video von den Geräten der Opfer abgespielt wird, ist die Umgebung sprachsteuerbar „Systeme wie Google Home Assistant, Alexa und Mobiltelefone können unbewusst ausgelöst werden“, sagen sie schreiben.
Der Angriff funktioniert, indem er menschliche Sprachbefehle in eine Ultraschallfrequenz über 20 kHz umwandelt, was die höchste Frequenz ist, die Menschen hören können. Anschließend leiten sie die unhörbaren Anweisungen an das sprachgesteuerte Zielsystem weiter.
Forscher sagen, dass es ihnen gelungen ist, verdeckte Sprachbefehle in sieben Spracherkennungssysteme einzuschleusen.
Quelle: Zheijiang-Universität/YouTube
Zu den weiteren hinterhältigen Aktionen, die ein Angreifer mit unhörbaren Sprachbefehlen anstellen könnte, gehört das Erzwingen des Öffnens eines Geräts B. eine bösartige Website, aktivieren Sie die Videokamera, um eine Person auszuspionieren, und weisen Sie das Gerät an, Spam zu versenden Kontakte.
Der DolphinAttack nutzt keine Schwachstelle in einem bestimmten sprachgesteuerten System aus, sondern die Audio-Hardware jedes Systems. Der Angriff funktionierte gegen ein iPhone, iPad, MacBook, Apple Watch, Amazon Echo, Samsung Galaxy 6S Edge und ein Lenovo ThinkPad mit Cortana. Das einzige Gerät, das dem Angriff standhielt, war das iPhone 6 Plus.
Eine Einschränkung der Ausrüstung, mit der sie experimentierten, bestand darin, dass sich ein Angreifer innerhalb von zwei Metern (6,5 Fuß) von der sprachgesteuerten Zielhardware befinden musste. Sie argumentieren jedoch, dass die Distanz mit besserer Ausrüstung vergrößert werden könnte.
Sie stellten außerdem fest, dass es schwieriger war, ein System anzuweisen, eine bestimmte Telefonnummer anzurufen oder eine bestimmte Website zu öffnen, als allgemeinere Befehle wie „Flugmodus einschalten“.
Sie entwickelten außerdem Erkennungs- und Aktivierungsangriffe, um die einzigartigen Weckbefehle jedes einzelnen Systems zu berücksichtigen, beispielsweise „Hey Siri“.
Um sich gegen diesen Angriff zu wehren, schlagen die Forscher vor, dass Mikrofone nicht wahrnehmen dürfen Töne mit Frequenzen über 20 kHz. Sie stellen fest, dass das Mikrofon im iPhone 6 Plus dies erledigt hat Also.
Bisherige und verwandte Berichterstattung
Dieser Amazon Echo-Hack kann dazu führen, dass Ihr Lautsprecher Sie ausspioniert, sagen Sicherheitsforscher
Untersuchungen von MWR InfoSecurity ergaben, dass es möglich ist, ältere Amazon Echo-Lautsprecher zu manipulieren und die Heimassistenten diskret in Abhörgeräte zu verwandeln.
Das Internet der bewaffneten Dinge: Es ist Zeit, sich mit der Gerätesicherheit zu befassen, bevor es zu spät ist
Anbieter, Einzelhändler und Benutzer müssen zusammenarbeiten, um „digitale Katastrophen zu vermeiden“, die durch unsichere IoT-Geräte verursacht werden, warnt eine Gruppe für technische Sicherheit.
Durch einen Fehler im Haussicherheitssystem können Hacker Alarme aus der Ferne aktivieren
Das Unternehmen scheint den Sicherheitsbericht Monate nach seiner Einreichung ignoriert zu haben.
- Das Aufblühen der Sprachsteuerung führt zu einer Reihe von Sicherheitslücken
- Öffnet die Verbindung Ihres Telefons mit Ihrem Auto neue Sicherheitsrisiken?
- Forscher verhindern, dass ISPs Ihre Smart-Geräte ausspionieren
- Sonos sagt, Benutzer müssen neue Datenschutzrichtlinien akzeptieren, sonst könnten Geräte „nicht mehr funktionieren“