HTCinside


Изследователи хакнаха Siri, Alexa и Google Home, като ги осветиха с лазери

Най-интересното развитие на мобилните технологии е използването на личен асистент. Home на Google, Alexa на Amazon и Siri на Apple опростяват работата ни само с гласова команда. От всички добри неща, които може да направи, е трудно да си представим, че тези лични гласови асистенти са уязвими за хакери.

Скорошен технически доклад разкри, че хакери и нападатели се насочват към тези цифрови гласови асистенти чрез лазерни лъчи. Те инжектират нечути и невидими команди в устройството, които тайно предприемат действия по злонамерени команди като отваряне на вратата, стартиране на превозни средства, деблокиране на поверителни уебсайтове и др.

Чрез хвърляне на лазерни лазерни лъчи с ниска мощност върху гласово активираната система, нападателите могат лесно да проникнат от разстояние приблизително 360 фута. Това може да е възможно, тъй като в системите няма вграден механизъм за удостоверяване на потребителя. Така те стават лесна мишена за хакери. Дори и да има някаква система за удостоверяване, за нападателите няма да е голяма работа да разбият ПИН кода или паролата, защото има таван за броя опити или предположения, които потребителите могат да опитат.

Освен съществуващата уязвимост в цифровите гласови асистенти, базираният на светлина хак може да бъде инжектиран дори от една сграда в друга. Тази техника на проникване може също да се използва за използване на уязвимостта, присъстваща в микрофоните. Микрофоните използват микро електромеханични системи (MEMS).

Тези MEMS реагират на светлина точно както на звук. Въпреки че обектът на изследване е Google Home, Sri и Alexa, може спокойно да се заключи, че всички телефони, таблети и други устройства, които работят на принципа на MEMS, могат да бъдат податливи на такива леки командни атаки.

Прочети -Хакери, използващи WAV аудио файлове за инжектиране на злонамерен софтуер и Cryptominers

Освен силата на използване на уязвимостта, има и някои ограничения на атаката чрез техниката, базирана на светлина. Да кажем, нападателят трябва да има пряка видимост. В повечето случаи атаката ще бъде успешна само когато светлината попадне върху определена част от микрофона.

Въпреки това, в случай на инфрачервена лазерна светлина, той може да открие и близките устройства. Изследването показа, че атаките, базирани на светлина, отговарят на гласови команди, също така предполага, че може да работи добре в полуреалистични среди. В бъдеще техническите експерти очакват тези атаки да бъдат по-тежки.

Ние откриваме, че VC системите често нямат механизми за удостоверяване на потребителите или ако механизмите са налице, те са неправилно внедрени (напр. позволяват грубо форсиране на PIN).

Показваме как нападател може да използва светлинно инжектирани гласови команди, за да отключи защитената с интелигентно заключване входна врата на целта, да отвори гаражни врати, да пазарува в уебсайтове за електронна търговия за сметка на целта или дори да локализира, отключи и стартира различни превозни средства (напр. Tesla и Ford), ако превозните средства са свързани с акаунта в Google на целта.“ – както е написано в изследователския доклад, озаглавен „Светлинни команди: Лазерно-базирани аудио инжектиращи атаки върху системи с гласово управление. ”