Alexa, Cortana, Google, Siri მომხმარებელი? გაუფრთხილდით ამ გაუგონარ ბრძანების შეტევებს

  • Sep 05, 2023

სულ რაღაც 3 დოლარად თავდამსხმელს შეუძლია ჩუმად უთხრას ნებისმიერ ხმოვან ასისტენტს, რომ გახსნას მავნე ვებგვერდი.

amazon-echo-2016-promo-pic-2.jpg

შეტევა მუშაობს სხვადასხვა ტექნიკის წინააღმდეგ Alexa, Cortana, Google და Siri ასისტენტებით, ადამიანის ხმოვანი ბრძანებების გარდაქმნით ულტრაბგერითი სიხშირეზე 20 kHz-ზე მეტი.

კრის მონრო / CNET

მკვლევარებმა შეიმუშავეს მეთოდი, რათა პოტენციურად მავნე ინსტრუქციები მისცენ ყველაზე პოპულარულ ხმოვან ასისტენტებს ხმოვანი ბრძანებების გამოყენებით, რომლებსაც ადამიანები ვერ უსმენენ.

ჟეიჯიანის უნივერსიტეტის მკვლევარებმა დაადასტურეს ეს მათი ე.წ. DolphinAttack მუშაობს სხვადასხვა ტექნიკის წინააღმდეგ Siri, Google, Cortana და Alexa ასისტენტებთან ერთად.

მათ ასევე შეიმუშავეს კონცეფციის დამადასტურებელი თავდასხმები იმის საილუსტრაციოდ, თუ როგორ შეუძლია თავდამსხმელმა გამოიყენოს გაუგონარი ხმოვანი ბრძანებები, მათ შორის ჩუმად მითითება. Siri-მ განახორციელოს FaceTime ზარი iPhone-ზე, უთხრას Google-ს გადართოს ტელეფონი თვითმფრინავის რეჟიმში და ნავიგაციის სისტემით მანიპულირებაც კი აუდი.

მათ მიერ შემუშავებული პორტატული თავდასხმის მეთოდი ასევე ძალიან იაფია, რომელიც მოითხოვს გამაძლიერებელს, ულტრაბგერითი გადამცემს და ბატარეას, რომლის ღირებულება მხოლოდ 3 დოლარია. პოტენციურად უარესი არის დისტანციური შეტევა, რომელსაც ისინი აღწერენ სამიზნის საკუთარი ტელეფონის გამოყენებით Google Home-ზე ან Echo-ზე თავდასხმისთვის.

„მოწინააღმდეგეს შეუძლია ატვირთოს აუდიო ან ვიდეო კლიპი, რომელშიც ხმოვანი ბრძანებები ჩართულია ვებსაიტზე, მაგალითად, YouTube-ზე. როდესაც აუდიო ან ვიდეო უკრავს მსხვერპლთა მოწყობილობებით, ირგვლივ ხმის კონტროლი შესაძლებელია სისტემები, როგორიცაა Google Home ასისტენტი, Alexa და მობილური ტელეფონები, შეიძლება ქვეცნობიერად ამოქმედდეს დაწერე.

შეტევა მუშაობს ადამიანის ხმოვანი ბრძანებების გარდაქმნით ულტრაბგერითი სიხშირეზე 20 kHz-ზე, რაც ყველაზე მაღალი სიხშირის მოსმენაა. შემდეგ ისინი გადასცემენ გაუგონარ ინსტრუქციებს მიზანმიმართულ ხმით კონტროლირებად სისტემას.

მკვლევარები ამბობენ, რომ მათ შეძლეს ფარული ხმოვანი ბრძანებების შეყვანა შვიდი მეტყველების ამოცნობის სისტემაში.

წყარო: ჟეიჯიანის უნივერსიტეტი/YouTube

თავდამსხმელს გაუგონარი ხმოვანი ბრძანებების გამოყენებით სხვა მზაკვრული რამ შეუძლია, მოიცავს მოწყობილობის გახსნის იძულებას მავნე ვებსაიტზე, გაააქტიურეთ ვიდეო კამერა პირის თვალთვალისთვის და დაავალეთ მოწყობილობას სპამი კონტაქტები.

DolphinAttack არ იყენებს დაუცველობას რომელიმე კონკრეტულ ხმით კონტროლირებად სისტემაში, არამედ თითოეული სისტემის აუდიო აპარატურაზე. შეტევა მუშაობდა iPhone, iPad, MacBook, Apple Watch, Amazon Echo, Samsung Galaxy 6S Edge და Lenovo ThinkPad-ის წინააღმდეგ, რომელიც მუშაობს Cortana-ზე. ერთადერთი მოწყობილობა, რომელიც მდგრადი იყო შეტევის მიმართ, იყო iPhone 6 Plus.

აღჭურვილობის ერთ-ერთი შეზღუდვა იყო ის, რომ თავდამსხმელი უნდა ყოფილიყო ორი მეტრის მანძილზე, 6,5 ფუტის მანძილზე, სამიზნე ხმით კონტროლირებადი აპარატურისგან. თუმცა, ისინი ამტკიცებენ, რომ მანძილი შეიძლება გაიზარდოს უკეთესი აღჭურვილობით.

მათ ასევე დაადგინეს, რომ უფრო რთული იყო სისტემისთვის მითითება დარეკოს კონკრეტულ ტელეფონის ნომერზე ან გახსნას კონკრეტული ვებგვერდი, ვიდრე უფრო ზოგადი ბრძანებები, როგორიცაა "ჩართე თვითმფრინავის რეჟიმი".

მათ ასევე შეიმუშავეს ამოცნობის და გააქტიურების შეტევები, რათა აღენიშნათ თითოეული სისტემის უნიკალური გაღვიძების ბრძანებები, როგორიცაა Hey Siri.

ამ თავდასხმისგან თავის დასაცავად, მკვლევარები ვარაუდობენ, რომ მიკროფონებს არ უნდა მიეცეთ საშუალება იგრძნონ ხმები 20 kHz-ზე მაღალ სიხშირეებზე. ისინი აღნიშნავენ, რომ მიკროფონი iPhone 6 Plus-ში ამუშავებდა ამას კარგად.

წინა და დაკავშირებული გაშუქება

უსაფრთხოების მკვლევარები ამბობენ, რომ ამ Amazon Echo-ს ამ ჰაკერმა შეიძლება თქვენი სპიკერი მოგაგონოთ

MWR InfoSecurity-ის მიერ ჩატარებულმა კვლევამ აჩვენა, რომ შესაძლებელია უფრო ძველი Amazon Echo დინამიკების ხელყოფა და სახლის ასისტენტების ფრთხილი გადაქცევა მოსასმენ მოწყობილობებად.

შეიარაღებული საგნების ინტერნეტი: დროა დაძლიოთ მოწყობილობის უსაფრთხოება, სანამ გვიან არ არის

გამყიდველებმა, საცალო მოვაჭრეებმა და მომხმარებლებმა ერთად უნდა იმოქმედონ, რათა „აიცილონ ციფრული კატასტროფა“, რომელიც გამოწვეულია დაუცველი IoT მოწყობილობებით, აფრთხილებს ტექნიკური უსაფრთხოების ჯგუფი.

სახლის უსაფრთხოების სისტემის ხარვეზი საშუალებას აძლევს ჰაკერებს დისტანციურად გაააქტიურონ სიგნალიზაცია

კომპანიამ, როგორც ჩანს, უგულებელყო უსაფრთხოების ანგარიში მისი შეტანიდან რამდენიმე თვის შემდეგ.

  • ხმის კონტროლის აყვავება იწვევს უსაფრთხოების ხვრელების მოსავალს
  • თქვენი ტელეფონის მანქანასთან დაკავშირება უსაფრთხოების ახალ რისკებს იწვევს?
  • მკვლევარები ბლოკავენ პროვაიდერებს თქვენი ჭკვიანი მოწყობილობების მეშვეობით ჯაშუშობისგან
  • Sonos ამბობს, რომ მომხმარებლებმა უნდა მიიღონ კონფიდენციალურობის ახალი პოლიტიკა, წინააღმდეგ შემთხვევაში მოწყობილობებმა შეიძლება "შეწყვიტონ ფუნქციონირება".