Noll
Attacken fungerar mot olika hårdvara med Alexa, Cortana, Google, och Siri, assistenter genom att omvandla mänsklig röst kommandon i ett ultraljud frekvens över 20 khz.
Chris Monroe/CNET
Forskare har utarbetat en metod för att ge potentiellt skadliga instruktioner till de flesta populära röst assistenter med hjälp av röstkommandon som inte kan höras av människor.
Forskare från Zheijiang Universitet har validerat att deras så kallade DolphinAttack arbetar mot en mängd hårdvara med Siri, Google, Cortana och Alexa assistenter.
De har också utvecklat proof-of-concept-attacker för att illustrera hur en angripare skulle kunna utnyttja ohörbar röst kommandon, inklusive tyst instruera Siri för att ringa ett FaceTime-samtal på en iPhone, talar om för Google att byta telefonen i flygplansläge, och även manipulera navigationssystem i en Audi.
En bärbar attack metod de utformas är också mycket billiga, vilket kräver en förstärkare, ultraljudsomvandlare och batteri som kostar bara $3. Potentiellt ännu värre är en avlägsen attack som de beskriver med målet egna telefonen för att attackera Google-Hem eller ett Eko.
“En motståndare kan ladda upp en ljud-eller video-klipp där röstkommandon är inbäddade i en webbsida, t ex YouTube. När ljud-eller video spelas av offrens enheter, den omgivande röst-styrbara system som Google Hem assistent, Alexa, och mobiltelefoner kan aktiveras omedvetet,” skriver de.
Attacken fungerar genom att omvandla mänsklig röst kommandon i ett ultraljud frekvens över 20 khz, vilket är den högsta frekvens som människor kan höra. De sedan vidarebefordra ohörbart instruktioner till de berörda rösten-styrt system.
Forskare säger att de har kunnat för att injicera dold röstkommandon i sju tal-system för erkännande.
Källa: Zheijiang Universitet/YouTube
Andra försåtliga saker en angripare skulle kunna göra med ohörbar röst kommandon inkluderar tvingar en anordning för att öppna en skadlig webbplats, aktivera videokameran för att spionera på en person, och uppdra åt enheten att spam kontakter.
Den DolphinAttack inte utnyttja en sårbarhet i någon särskild rösten-styrt system, utan snarare varje system audio hårdvara. Attacken arbetat mot en iPhone, iPad, MacBook, Apple Titta på, Amazon Echo, Samsung Galaxy 6S Kant, och en Lenovo ThinkPad kör Cortana. Den enda enhet som var resistent mot attacken var iPhone 6 Plus.
En begränsning till den utrustning som de experimenterade med var att en angripare skulle behöva vara inom två meter, 6.5 m, i mål röststyrd hårdvara. Men de hävdar avståndet kan utökas med bättre utrustning.
De tyckte också att det var svårare att instruera ett system för att ringa ett visst telefonnummer eller öppna en specifik webbplats än mer allmänna kommandon som, “Slå på flygplansläge”.
De har även utvecklat erkännande och aktivering attacker konto för varje system är unikt wake-up-kommandon, till exempel Hej Siri.
För att försvara sig mot denna attack, föreslår forskare mikrofoner bör inte vara tillåtna att uppfatta ljud med frekvenser högre än 20 khz. De noterar mikrofonen i iPhone 6 Plus hanterade detta bra.
Tidigare och relaterade täckning
Detta Amazon Echo hack kan göra dina högtalare spy på dig, säger säkerhetsforskare
Forskning av MWR InfoSecurity funnit att det är möjligt att manipulera med äldre Amazon Echo högtalare och diskret vända hem-assistenter till avlyssningsutrustning.
Internet Weaponized Saker: Tid att ta itu med enheten säkerhet innan det är för sent
Leverantörer, återförsäljare och användare måste agera tillsammans för att “undvika digital katastrof som orsakas av osäkra IoT-enheter, varnar en teknisk säkerhet-gruppen.
Mer om säkerhet
Blomningen av röststyrning leder till en gröda av säkerhet holesDoes ansluta telefonen till din bil, öppna upp nya säkerhetsrisker?Forskare Internetleverantörer blockera från att spionera via din smart devicesSonos säger användarna måste acceptera nya sekretesspolicy eller enheter kan upphöra att fungera”
0