Всего лишь за $ 3 злоумышленник может тихо сказать любому помощнику голоса, чтобы тот выполнил его команду

Атака работает против разнообразного оборудования с помощниками Alexa, Cortana, Google и Siri, путем преобразования человеческих голосовых команд в ультразвуковую частоту выше 20 кГц.

Исследователи из университета Чжэцзян разработали метод предоставления потенциально опасных инструкций большинству популярных голосовых помощников, используя голосовые команды, которые не могут быть услышаны людьми.

Они также разработали атаку с доказательством концепции, чтобы проиллюстрировать, как злоумышленник может использовать неслышимые голосовые команды, включая молчание инструктирования Сири, чтобы вызвать вызов FaceTime на iPhone, сообщая Google, чтобы переключить телефон в режим самолета и даже манипулировать навигационной системой в Audi.

Портативный метод атаки, который они разработали, также чрезвычайно дешев, требуя усилителя, ультразвукового преобразователя и батареи, стоимость которых составляет всего 3 доллара. Потенциально еще хуже - это удаленная атака, которую они описывают, используя собственный телефон цели.

«Злоумышленник может загружать аудио или видеоролик, в котором голосовые команды встроены в веб-сайт, например, на YouTube. Когда аудио или видео воспроизводятся устройствами жертв, окружающие голосовые управляемые системы, такие как помощник Google Home, Alexa, и мобильные телефоны могут быть запущены бессознательно », - пишут они.

Атака работает путем преобразования человеческих голосовых команд в ультразвуковую частоту выше 20 кГц, что является самой высокой частотой, которую люди могут слышать. Затем они передают неслышимые инструкции в целевую систему голосовой связи.

Исследователи говорят, что им удалось ввести скрытые голосовые команды в семь систем распознавания речи.

Другие хитроумные вещи, которые злоумышленник мог делать с помощью несовместимых голосовых команд, включают в себя принуждение устройства к открытию вредоносного веб-сайта, активацию видеокамеры для шпионажа на человека и указание устройству спамить контакты.

DolphinAttack не использует уязвимость в какой-либо конкретной голосовой системе, а скорее аудиосистему каждой системы. Атака работала против iPhone, iPad, MacBook, Apple Watch, Amazon Echo, Samsung Galaxy 6S Edge и Lenovo ThinkPad с Cortana. Единственным устройством, которое было устойчиво к атаке, был iPhone 6 Plus.

Одно ограничение на оборудование, в котором они экспериментировали, заключалось в том, что атакующий должен находиться в пределах двух метров от целевого голосового оборудования. Тем не менее, они утверждают, что расстояние может быть расширено с помощью лучшего оборудования.

Они также обнаружили, что было сложнее проинструктировать систему о вызове определенного номера телефона или открыть конкретный веб-сайт, чем более общие команды, такие как «Включить режим самолета».

Для защиты от этой атаки исследователи полагают, что микрофоны не должны позволять воспринимать звуки на частотах выше 20 кГц. Исследователи отмечают, что микрофон в iPhone 6 Plus справляется с этим.

Полную версию статьи вы можете посмотреть здесь…



СОВИТ

Аналитика

Архив

Новости

Архив