Nul
Angrebet virker mod en række hardware med Alexa, Cortana, Google, og Siri, assistenter ved at omdanne den menneskelige stemme-kommandoer i en ultralyds frekvens over 20 khz.
Chris Monroe/CNET
Forskere har udviklet en metode til at give potentielt skadelige instruktioner til de mest populære stemme assistenter ved hjælp af stemmekommandoer, der ikke kan høres af mennesker.
Forskerne fra Zheijiang Universitet har godkendt, at deres såkaldte DolphinAttack virker mod en række hardware med Siri, Google, Cortana og Alexa assistenter.
De har også udviklet proof-of-concept-angreb for at illustrere, hvordan en hacker kan udnytte uhørlig stemme-kommandoer, herunder stille instruere Siri til at foretage et FaceTime-opkald på en iPhone, hvilket fortæller Google at skifte telefonen til flytilstand, og selv manipulere navigationssystemet i en Audi.
En bærbar angreb metode de udtænkt er også ekstremt billige, kræver en forstærker, ultralydstransducer og batteri, som koster kun $3. Potentielt endnu værre er, en ekstern angreb de beskriver, hvordan de ved hjælp af target ‘ s egen telefon til at angribe Google Startside eller et Ekko.
“En modstander kan uploade lyd-eller videoklip, hvor de stemmekommandoer, der er indlejret i en hjemmeside, fx YouTube. Når lyd-eller video spilles af ofrenes enheder, de omkringliggende stemme-kontrollerbare systemer som Google Startside assistent, Alexa, og mobiltelefoner kan være udløst ubevidst,” skriver de.
Angrebet virker ved at omdanne den menneskelige stemme-kommandoer i en ultralyds frekvens over 20 khz, som er den højeste frekvens, som mennesker kan høre. De derefter videresende den uhørlige instruktioner til målrettet voice-kontrolleret system.
Forskere siger, at de har været i stand til at injicere hemmelige stemme-kommandoer i syv talegenkendelse-systemer.
Kilde: Zheijiang Universitet/YouTube
Andre lusket ting en angriber kunne gøre brug af uhørlig stemme-kommandoer omfatter tvinger en enhed for at åbne en ondsindet hjemmeside, aktivere video kamera til at spionere på en person, og instruere enheden til spam kontakter.
Den DolphinAttack ikke udnytte en sårbarhed i en bestemt stemme-kontrolleret system, men snarere hvert system audio hardware. Angrebet arbejdet mod en iPhone, iPad, MacBook, Apple Ur, Amazon Echo, Samsung Galaxy 6S Kant, og en Lenovo ThinkPad kører Cortana. Den eneste enhed, der var resistente over for angreb var iPhone 6 Plus.
En begrænsning, at det udstyr, de eksperimenterede med, var, at en hacker vil ikke nødt til at være inden for to meter, 6.5 m, af målet stemme-kontrolleret hardware. Men de hævder, er den afstand, kunne udvides med bedre udstyr.
De fandt også, at det var vanskeligere at instruere et system til at ringe til et bestemt telefonnummer eller åbne en bestemt hjemmeside, end mere generelle kommandoer såsom, “Tænd airplane mode”.
De har også udarbejdet anerkendelse og aktivering angreb til regnskab for hver af de forskellige systemets unikke wake-up-kommandoer, såsom Hey Siri.
For at forsvare sig mod dette angreb, foreslår forskerne, mikrofoner skal ikke have lov til at fornemme lyde med frekvenser, der er højere end 20 khz. De konstaterer, at mikrofonen i iPhone 6 Plus håndteret det godt.
Tidligere og relaterede dækning
Dette Amazon Echo hack kan gøre din højttaler spionere på dig, siger sikkerhedseksperter
Forskning af MWR InfoSecurity fandt, at det er muligt at manipulere med ældre Amazon Echo højttalere og diskret at vende hjem-assistenter i aflytningsudstyr.
Internettet Weaponized Ting: Tid til at håndtere sikkerhed på enheden, før det er for sent
Leverandører, forhandlere og brugere, der har brug for at stå sammen for at “undgå en digital katastrofe” som følge af usikre IoT-enheder, advarer en tech security group.
Mere om sikkerhed
Blomstring af voice kontrol fører til en afgrøde af sikkerhed holesDoes at tilslutte din telefon til din bil åbne op for nye sikkerhedsmæssige risici?Forskere blok Internetudbydere fra spionage via din smart devicesSonos siger brugerne skal acceptere nye privatlivspolitik eller enheder kan “ophører med at fungere”
0