Исследователи могут угнать Сири неслышимыми ультразвуковыми волнами

Атака, не слышимая человеческому уху, может использоваться для чтения сообщений, мошеннических телефонных звонков или фотографирования без ведома пользователя.

Исследователи в области безопасности нашли способ тайно похитить Siri и других цифровых помощников смартфонов с помощью ультразвуковых волн, звуков, которые люди обычно не слышат.

Атака, не слышимая человеческому уху, может использоваться для чтения сообщений, мошеннических телефонных звонков или фотографирования без ведома пользователя.
Атака, не слышимая человеческому уху, может использоваться для чтения сообщений, мошеннических телефонных звонков или фотографирования без ведома пользователя.

Названный SurfingAttack, эксплойт использует высокочастотные неслышимые звуковые волны для активации и взаимодействия с цифровым помощником устройства. В то время как подобные атаки появлялись в прошлом, SurfingAttack фокусируется на передаче указанных волн через твердые материалы, такие как таблицы.

Исследователи обнаружили, что они могут использовать пьезоэлектрический преобразователь стоимостью 5 долларов, прикрепленный к нижней части стола, для отправки этих ультразвуковых волн и активации голосового помощника без ведома пользователя.

Используя эти неслышимые ультразвуковые волны, команда смогла разбудить голосовых помощников и дать команды, чтобы делать телефонные звонки, делать фотографии или читать сообщение, содержащее пароль двухфакторной аутентификации.

Чтобы еще больше скрыть атаку, исследователи сначала отправили неслышную команду, чтобы уменьшить громкость устройства, прежде чем записывать ответы, используя другое устройство, спрятанное под столом.

SurfingAttack был протестирован на 17 устройствах и признан эффективным против большинства из них. Некоторые устройства Apple iPhone, Google Pixels и Samsung Galaxy уязвимы для атаки, хотя в исследовании не было отмечено, какие именно модели iPhone были протестированы.

Loading...

Все цифровые помощники, включая Siri, Google Assistant и Bixby, уязвимы.

Только Huawei Mate 9 и Samsung Galaxy Note 10+ были невосприимчивы к атаке, хотя исследователи связывают это с различными звуковыми свойствами их материалов. Они также отметили, что атака была менее эффективной при использовании на столах, скатанных в скатерть.

Этот метод основан на использовании нелинейности MEMS-микрофона устройства, которые используются в большинстве устройств с голосовым управлением и включают небольшую диафрагму, которая может преобразовывать звуковые или световые волны в полезные команды.

Несмотря на эффективность в отношении смартфонов, команда обнаружила, что SurfingAttack не работает на таких интеллектуальных колонках, как устройства Amazon Echo или Google Home. Основным риском, по-видимому, являются скрытые устройства, заранее спрятанные под столами кафе, офисными столами и другими подобными поверхностями.

Исследование было опубликовано многонациональной группой исследователей из Вашингтонского университета в Сент-Луисе, Университета штата Мичиган, Китайской академии наук и Университета Небраски-Линкольна. Впервые он был представлен на симпозиуме по безопасности сетевых распределенных систем 24 февраля в Сан-Диего.

SurfingAttack далеко не первый раз, когда неслышимые звуковые волны используются для использования уязвимостей. Исследования связаны с несколькими предыдущими исследовательскими проектами, в том числе с аналогичным названием DolphinAttack.

Соцсети