Hakeri ultrazvučnim talasima mogu kontrolisati Siri i druge glasovne asistente

Vesti, 03.03.2020, 02:30 AM

Hakeri ultrazvučnim talasima mogu kontrolisati Siri i druge glasovne asistente

Glasovni asistenti koje je popularizovao Appleov Siri doneli su velike pogodnosti korisnicima. Na kraju, glasovnim komandama možete raditi čitav niz stvari kao što su puštanje muzike, pozivanje ili čak preuzimanje videa sa interneta.

Međutim, istraživači su davno otkrili da glasovni asistenti nose određene bezbednosne rizike: ultrazvučni talasi koje ljudsko uho ne čuje mogu se koristiti za kontrolu različitih glasovnih asistenata, uključujući gore pomenuti Siri, Google Assistant i Bixby. To je tehnički moguće iako bi glasovni asistenti trebalo da prepoznaju samo glas vlasnika, a ne bilo koji glas ili nešto drugo.

To je viđeno još 2017. godine kada je grupa istraživača demonstrirala koncept napada koji je nazvan Delfin i koji je izvodljiv uz nekoliko uslova:

√ mora postojati čista putanja između uređaja i emitera ultrazvučnih talasa

√ razmak između njih treba da bude mali

Sada je grupa naučnika sa Državnog univerziteta Mičigen, Univerziteta Vašington, Kineske akademije nauka i Univerziteta Nebraska-Linkoln pokazala [PDF] da ultrazvučni talasi ne samo što se mogu koristiti na ovaj način, već mogu biti poslati i kroz materijale velike debljine, poput komada stakla ili drvenog stola. To su uradili tako što su pričvrstili piezoelektrični disk na dno površine na kojoj je postavljen pametni telefon.

Jedino ograničenje je da je opet udaljenost bila mala, u ovom slučaju 43 cm, što umanjuje šanse za daljinski napad. Ipak, mnogo je lakše sakriti se u poređenju s drugim metodama jer se disk ne može videti.

Kako izgleda napad možete pogledati na video snimku koji su objavili istraživači. Za napad je korišćen softver SurfingAttack koji se koristi za generisanje komandi za kontrolu pomoćnika. Potencijalne opcije za iskorištavanje ove ranjivosti uključuju neovlašćeno korišćenje kamere telefona, pristup poverljivim podacima poput poruka što se može iskoristiti za zaobilaženje dvofaktorne autentifikacije i obavljanje telefonskih poziva.

Od 17 testiranih pametnih telefona, 15 ih je na ovaj način kompromitovano, uključujući telefone koje proizvode Apple, Google, Samsung, Motorola, Xiaomi i Huawei. Dva modela koja nisu kompromitovana su Samsungov Galaxy Note 10 i Huawei Mate 9. To je zato što je materijal od kojih su napravljeni ovi telefoni „prigušio ultrazvučne talase“.

Ovde su dostupni brojni drugi video snimci koji demonstriraju SurfingAttacks na različitim modelima pametnih telefona.

Iako ovo otkriće nije nešto što bi podstaklo proizvođače da odmah nešto preduzmu, bilo bi dobro da za buduće modele nađu rešenja koja bi ih zaštitila od ovakvog napada.

Jedno od njih je da koriste takav materijal za izradu uređaja koji bi mogao da priguši takve talase kao u gore navedenim slučajevima, ali i druge moguće vektore napada takođe treba uzeti u obzir a to ne podrazumeva samo izolaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google Chrome će štititi korisnike od obaveštenja sajtova koji ih zloupotrebljavaju

Google Chrome će štititi korisnike od obaveštenja sajtova koji ih zloupotrebljavaju

Obaveštenja su danas jedna vrlo korisna funkcija pregledača, koja pomaže korisnicima da dobijaju važne novosti iz niza aplikacija, uključujući a... Dalje

Zbog ranjivog dodatka 200000 WordPress sajtova podložno napadima

Zbog ranjivog dodatka 200000 WordPress sajtova podložno napadima

Dve bezbednosne ranjivosti koje se nalaze u dodatku PageLayer mogu omogućiti napadačima da obrišu sadržaj ili preuzmu WordPress sajtove koristeć... Dalje

Akcionari Facebooka pokušavaju da blokiraju uvođenje enkripcije

Akcionari Facebooka pokušavaju da blokiraju uvođenje enkripcije

Na godišnjem sastanku akcionara Facebooka glasaće se o predlogu za odlaganje planova kompanije za uvođenje end-to-end enkripcije. Kompanija želi ... Dalje

Sajber-napadi na bolnice se moraju zaustaviti, Crveni krst uputio otvoreno pismo svetskim vladama

Sajber-napadi na bolnice se moraju zaustaviti, Crveni krst uputio otvoreno pismo svetskim vladama

Međunarodni komitet Crvenog krsta, bivši predsednici i ministri, dobitnici Nobelove nagrade za mir, direktori kompanija koje se bave sajber-bezbedno... Dalje

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Nova verzija malvera ComRAT koristi Gmail da bi dobila instrukcije i izvukla podatke sa zaraženog uređaja

Istraživači kompanije ESET otkrili su nove napade iza kojih stoji Turla, jedna od najnaprednijih ruskih hakerskih grupa koje finansira ruska država... Dalje