Teadlased häkkisid Siri, Alexa ja Google Home'i, särades neile laserid

Mobiiltehnoloogia kõige huvitavam areng on isikliku abistaja kasutamine. Google'i koduleht, Amazoni Alexa ja Apple'i Siri lihtsustavad meie tööd vaid häälkäsklusega. Kõigist headest asjadest, mida see võib teha, on raske ette kujutada, et need isiklikud hääleassistendid on häkkerite suhtes haavatavad.

Hiljutine tehniline aruanne näitas, et häkkerid ja ründajad sihivad neid digitaalseid hääleassistente laserkiirte kaudu. Nad sisestavad seadmesse kuuldamatuid ja nähtamatuid käske, mis võtavad salaja meetmeid pahatahtlike käskude puhul, nagu ukse avamine, sõidukite käivitamine, konfidentsiaalsete veebisaitide blokeeringu tühistamine jne.

Visates väikese võimsusega laserkiirte häälega aktiveeritavale süsteemile, saavad ründajad hõlpsasti sisse murda umbes 360 jala kauguselt. See võib olla võimalik, kuna süsteemidesse pole sisse ehitatud kasutaja autentimismehhanismi. Seega muutuvad nad häkkerite jaoks lihtsaks sihtmärgiks. Isegi kui autentimissüsteem oleks olemas, poleks ründajatel PIN-koodi või parooli murdmine suur probleem, sest kasutajate katsete või oletuste arv on piiratud.

Lisaks digitaalsete hääleassistentide olemasolevale haavatavusele saab valguspõhist häkkimist isegi ühest hoonest teise süstida. Seda sissetungimise tehnikat saab kasutada ka mikrofonides leiduva haavatavuse ärakasutamiseks. Mikrofonid kasutavad mikroelektromehaanilisi süsteeme (MEMS).

Need MEMS-id reageerivad valgusele täpselt nagu helile. Kuigi uurimisobjektiks on Google Home, Sri ja Alexa, võib julgelt järeldada, et kõik MEMS-i põhimõttel töötavad telefonid, tahvelarvutid ja muud seadmed võivad olla altid sellistele kergetele käsurünnakutele.

Loe -Häkkerid, kes kasutavad pahavara ja krüptokaevurite süstimiseks WAV-helifaile

Lisaks haavatavuse ärakasutamise tugevusele on valguspõhise tehnika kaudu ründamisel ka mõned piirangud. Ütleme, et ründajal peab olema otsene nähtavus. Enamikul juhtudel õnnestub rünnak ainult siis, kui valgus langeb mikrofoni konkreetsele osale.

Infrapuna laservalguse puhul suudab see aga tuvastada ka läheduses olevaid seadmeid. Uuringud on näidanud, et valguspõhised rünnakud reageerivad häälkäsklustele, viitab ka sellele, et see võib hästi töötada poolrealistlikus keskkonnas. Tulevikus eeldavad tehnikaeksperdid, et need rünnakud on tõsisemad.

Leiame, et VC-süsteemidel puuduvad sageli kasutaja autentimismehhanismid või kui mehhanismid on olemas, on need valesti rakendatud (nt võimaldavad PIN-koodi toorest sundimist).

Näitame, kuidas ründaja saab kasutada valgussüstidega häälkäsklusi, et avada sihtmärgi nutika lukuga kaitstud välisuks, avada garaažiuksi, osta sihtmärgi kulul e-kaubanduse veebisaitidel või isegi leida, avada ja käivitada erinevaid sõidukeid (nt Tesla ja Ford), kui sõidukid on ühendatud sihtmärgi Google'i kontoga. – nagu on kirjutatud uurimisaruandes pealkirjaga „Valguskäsud: laseripõhised helisüsti rünnakud häälega juhitavatele süsteemidele. ”