Nie zauważysz go, bo... go nie usłyszysz. Nie jesteśmy w stanie słyszeć dźwięków o niektórych częstotliwościach: to zaś otwiera drogę cyberprzestępcom do naszych inteligentnych głośników. Na szczęście, na pomysł tego typu ataku, wpadli badacze z University of Texas w San Antonio oraz University of Colorado - nie ma żadnych dowodów na to, że ktokolwiek poza nimi, atakował w ten sposób takie sprzęty.
Co najgorsze - ten atak nie dotyczy tylko inteligentnych głośników. W ten sposób można przejmować urządzenia zasilane przez asystentów głosowych, takie jak smartfony, inteligentne głośniki i inne urządzenia IoT. Dwa warianty ataków nazwano "Near-Ultrasound Inaudible Trojan" (NUIT). Zademonstrowano je na sprzętach wyposażonych w Siri, Asystenta Google, Cortanę oraz Aleksę: za pomocą bardzo krótkich komend bazujących na niemalże ultradźwiękach trwających niecałą sekundę - udawało się wykonać różnorakie polecenia. Ryzyko jest o tyle duże, że NUIT mogą stać się elementem stron internetowych lub nawet filmów na YouTube - wewnątrz materiału będzie znajdować się krótka komenda wysyłana do głośnika - po czym może odbyć się przewidziana przez cyberprzestępcę akcja: na przykład otworzenie drzwi garażowych lub wysłanie wiadomości tekstowej na konkretny numer telefonu.
NUIT-1 zakłada sytuację, w której głośnik sam w sobie jest źródłem i celem takiej komendy, natomiast NUIT-2 zakłada, że sprzęt w pobliżu - smartfon, komputer lub jakikolwiek głośnik znajdujący się m. in. w przestrzeni publicznej, okazuje się być źródłem złośliwego ataku. Jedyny "wymóg", to ustawienie źródłowego głośnika powyżej pewnego poziomu głośności: wszystko trwa 0,77 sekundy, więc jest to absolutnie nie do dostrzeżenia i powiązania z jakimkolwiek złośliwym działaniem. Właściwie nic nie stoi na przeszkodzie, by przekierować inteligentny głośnik na dowolną stronę internetową, w której znajduje się dalszy, niebezpieczny "payload", mający na celu bezpośrednie zaatakowanie głośnika.
Jak przekazują badacze, przetestowano 17 popularnych urządzeń, które uruchamiają asystentów głosowych i stwierdzili, że wszystkie są możliwe do posiadania przy użyciu dowolnego głosu, nawet wygenerowanego przez robota. Wyjątkiem są te, które są wyposażone w asystentkę Siri: ta wymaga, aby użyć głosu zbliżonego do naturalnego.
W jaki sposób można się chronić przed tym atakiem? Przede wszystkim, konkretne rozwiązania ku temu muszą wdrożyć producenci smartfonów, głośników i wielu innych urządzeń. Na pewno, pewnym poziomem ochrony odznacza się sytuacja, w której korzystamy z słuchawek, zamiast głośników - na przykład słuchając muzyki. Ale absolutnie nie chroni nas to przed atakami, których źródłem mogą być publicznie rozstawione "sprzęty nadawcze". Ofiara najprawdopodobniej się nie zorientuje - chyba, że odkryje ona, że jej urządzenie znajduje się w trybie nasłuchu dźwięków.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
