Bir saldırgan, 3 dolar gibi düşük bir ücret karşılığında herhangi bir sesli asistana kötü amaçlı bir web sayfası açmasını sessizce söyleyebilir.
Saldırı, insan sesi komutlarını 20kHz'in üzerinde ultrasonik frekansa dönüştürerek Alexa, Cortana, Google ve Siri yardımcıları ile çeşitli donanımlara karşı çalışıyor.
Araştırmacılar, insanların duyamayacağı sesli komutları kullanarak çoğu popüler sesli asistana potansiyel olarak zararlı talimatlar verebilecek bir yöntem geliştirdi.
Zheijiang Üniversitesi'nden araştırmacılar bunu doğruladı onların sözde DolphinAttack'ı Siri, Google, Cortana ve Alexa asistanlarıyla çeşitli donanımlara karşı çalışır.
Ayrıca bir saldırganın sessizce talimat vermek de dahil olmak üzere duyulamayan sesli komutlardan nasıl yararlanabileceğini göstermek için kavram kanıtı saldırıları da geliştirdiler. Siri, iPhone'da FaceTime araması yapacak, Google'a telefonu uçak moduna geçirmesini söyleyecek ve hatta navigasyon sistemini bir Audi.
Geliştirdikleri taşınabilir saldırı yöntemi de son derece ucuz; bir amplifikatör, ultrasonik dönüştürücü ve pil gerektiriyor; maliyeti yalnızca 3 dolar. Potansiyel olarak daha da kötüsü, Google Home'a veya Echo'ya saldırmak için hedefin kendi telefonunu kullanarak tanımladıkları uzaktan saldırıdır.
"Düşman, sesli komutların YouTube gibi bir web sitesine yerleştirildiği bir ses veya video klibi yükleyebilir. Ses veya video kurbanların cihazlarında oynatıldığında çevredeki ses ile kontrol edilebilir Google Home asistanı, Alexa ve cep telefonları gibi sistemler bilinçsizce tetiklenebilir." yazmak.
Saldırı, insan ses komutlarını, insanların duyabileceği en yüksek frekans olan 20 kHz'in üzerindeki ultrasonik frekansa dönüştürerek çalışıyor. Daha sonra duyulamayan talimatları hedeflenen ses kontrollü sisteme aktarırlar.
Araştırmacılar, yedi konuşma tanıma sistemine gizli ses komutları enjekte edebildiklerini söylüyor.
Kaynak: Zheijiang Üniversitesi/YouTube
Bir saldırganın duyulamayan sesli komutlar kullanarak yapabileceği diğer sinsi şeyler arasında bir cihazı açılmaya zorlamak yer alır. Kötü amaçlı bir web sitesi, bir kişiyi gözetlemek için video kamerayı etkinleştirin ve cihaza spam gönderme talimatı verin kişiler.
DolphinAttack herhangi bir ses kontrollü sistemdeki bir güvenlik açığından yararlanmıyor, bunun yerine her sistemin ses donanımından yararlanıyor. Saldırı iPhone, iPad, MacBook, Apple Watch, Amazon Echo, Samsung Galaxy 6S Edge ve Cortana çalıştıran Lenovo ThinkPad'e karşı etkili oldu. Saldırıya karşı dayanıklı olan tek cihaz ise iPhone 6 Plus oldu.
Deney yaptıkları ekipmanın bir sınırlaması, saldırganın hedef ses kontrollü donanımın iki metre (6,5 ft) yakınında olması gerekmesiydi. Ancak daha iyi ekipmanlarla mesafenin uzatılabileceğini savunuyorlar.
Ayrıca, bir sisteme belirli bir telefon numarasını araması veya belirli bir web sitesini açması talimatını vermenin, "Uçak modunu aç" gibi daha genel komutlardan daha zor olduğunu buldular.
Ayrıca Hey Siri gibi her farklı sistemin benzersiz uyandırma komutlarını hesaba katacak tanıma ve etkinleştirme saldırıları da tasarladılar.
Bu saldırıya karşı korunmak için araştırmacılar mikrofonların algılama yapmasına izin verilmemesini öneriyor 20kHz'den yüksek frekanslarda ses çıkarır. iPhone 6 Plus'taki mikrofonun bunu hallettiğini belirtiyorlar Peki.
Önceki ve ilgili kapsam
Güvenlik araştırmacıları, bu Amazon Echo hack'inin hoparlörünüzün sizi gözetlemesini sağlayabileceğini söylüyor
MWR InfoSecurity tarafından yapılan araştırma, eski Amazon Echo hoparlörlerini kurcalamanın ve ev asistanlarını gizlice dinleme cihazlarına dönüştürmenin mümkün olduğunu buldu.
Silahlandırılmış Nesnelerin İnterneti: Çok geç olmadan cihaz güvenliğini ele almanın zamanı geldi
Bir teknoloji güvenlik grubu, satıcıların, perakendecilerin ve kullanıcıların güvenli olmayan IoT cihazlarının neden olduğu "dijital felaketten kaçınmak" için birlikte hareket etmeleri gerektiği konusunda uyarıyor.
Ev güvenlik sistemindeki kusur, bilgisayar korsanlarının alarmları uzaktan etkinleştirmesine olanak tanıyor
Şirket, güvenlik raporunu sunulduktan aylar sonra bile görmezden gelmiş gibi görünüyor.
- Ses kontrolünün gelişmesi bir dizi güvenlik açığına yol açıyor
- Telefonunuzu arabanıza bağlamak yeni güvenlik risklerine yol açıyor mu?
- Araştırmacılar ISP'lerin akıllı cihazlarınız üzerinden casusluk yapmasını engelliyor
- Sonos, kullanıcıların yeni gizlilik politikasını kabul etmesi gerektiğini, aksi takdirde cihazların "çalışmayı durdurabileceğini" söyledi