Sårbarhed ved MEMS gør det muligt at kapre stemmeassistenter, inklusive Alexa, Google Home eller Siri

Virtuelle assistenter blev oprettet for at udføre forskellige opgaver for at gøre vores liv lettere. I årenes løb har de ændret sig meget, og i dag har vi endda stemmeassistenter som Alexa og Siri, der kan kontrollere flere smarte enheder og udføre forskellige opgaver efter at have fået mundtlige kommandoer. Mange brugere bruger dem til at lytte til musik, kontrollere vejret eller shoppe online. For at kunne udføre disse opgaver skal en stemmeassistent naturligvis have adgang til brugerens konti og andre smarte hjemmeenheder. Således kan kapring af det muliggøre angribere at handle i offerets navn, tænde og slukke for hans enheder og så videre. Desværre afslørede nylige fund , at cyberkriminelle muligvis ikke engang har brug for at bruge ondsindede værktøjer til at gøre det. Det kan tilsyneladende være muligt for en hacker at overtage en smart assistent ved hjælp af en laserpointer, lydforstærker og et par andre ting. For at lære mere om denne opdagelse inviterer vi dig til at læse vores fulde blogindlæg.

Mens nogle mennesker ikke kan forestille sig deres liv uden smarte hjem, undgår nogle brugere at have for mange smarte enheder i frygt for deres sikkerhed. Begivenheder som den, hvor hackere angreb ejerne af et Nest-kamera eller opdagelsen af en sårbarhed i Amazonas smarte dørklokker , beviser kun, at brug af sådanne enheder altid er en risiko. Det kan dog være endnu mere farligt at have en enhed med en stemmeassistent, der muligvis er forbundet til alle de smarte gadgets i dit hjem. For et par måneder siden beviste cybersecurity-specialister, at stemmeassistenter kunne ansættes af hackere via ondsindede applikationer til at spionere på dets brugere . Nu ser det ud til, at forskere opdagede et angreb på stemmeassistenter, der kunne tillade cyberkriminelle at kapre dem og gøre meget mere end at lytte til det, du siger.

Hvordan kunne hackere overtage smarte assistenter?

Ifølge forskere fra University of Electro-Communications og University of Michigan, der udgav et papir kaldet Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems , kunne en angriber misbruge de såkaldte MEMS (mikroelektro-mekaniske systemer) ) sårbarhed over for kapring af enheder som Alexa , Portal , Google Assistant og Siri . Det ser ud til, at mikrofoner på disse gadgets kan have den nævnte svaghed, og det kan udnyttes ved at anvende ting som en laserpointer, lydforstærker, lydkabel og laserstrøm driver. Ved at kombinere disse ting kan det være muligt at oprette et værktøj, der giver mulighed for at indsprøjte en optaget kommando i en stemmeassistent. Med andre ord kunne angribere kommunikere med lydassistenter ved at omdanne lys til lyd og injicere indspillede kommandoer via en målrettet enheds mikrofon.

Hvad har hackere brug for for at udføre de laserbaserede lydinjektionsangreb?

Heldigvis, for at kapre en enhed og give de såkaldte lyskommandoer, er hackere nødt til at se den gadget, de er målrettet mod, samt være inden for en afstand af 110 meter eller mindre. Forskere siger også, at hackere i nogle tilfælde måske skal være endnu tættere for at udnytte MEMS-sårbarheden. Det hele afhænger af den målrettede enhed. Hvad angår, hvad angribere kan gøre, når de kaprer din stemmeassistent, afhænger det muligvis af, hvilken slags smarte enheder du har, og hvilken type konti der er knyttet til din stemmeassistent. Hvis du f.eks. Linkede Alexa til din Amazon- konto, så den kunne købe ting for dig, kunne angriberen misbruge dette til at købe varer til sig selv. Hvad der muligvis lyder endnu skræmmere er, at angribere kunne tænde at tvinge PIN-koder til dine smarte låse eller endda starte din bil, hvis den er knyttet til din højttaler.

Hvordan beskytter du din stemmeassistent mod laserbaserede lydinjektionsangreb?

Forskere siger, at manglen på godkendelsesmekanismer på mikrofoner er det, der gør det muligt at udføre vellykkede laserbaserede lydinjektionsangreb. Naturligvis har specialisterne, der opdagede dette, allerede underrettet virksomheder, der opretter stemmestyrbare systemer om MEMS-sårbarheden. Det kan dog tage tid, før de fuldt ud forstår problemet og finder en måde at beskytte deres enheder mod de nævnte angreb. Derfor, indtil det sker, er du muligvis nødt til at stoppe hackere i at kapre din stemmeassistent selv.

Som nævnt tidligere afhænger succesen af sådanne angreb ikke på at narre brugerne til at afsløre oplysninger, der kan hjælpe med at få adgang til målrettede enheder eller droppe ondsindede applikationer, der kunne give dem. Således kan sædvanlige sikkerhedsforholdsregler, såsom at passe på mistænkelige applikationer eller ikke dele dine følsomme oplysninger skødesløst, ikke være til nytte i dette særlige tilfælde. I stedet anbefales det at holde din enhed væk fra vindueskarme eller steder i dit hjem, der kunne være synlige gennem vinduerne. Hvis angribere ikke kan pege deres lasere på enhedens mikrofon, skal din stemmeassistent være sikker.

Generelt minder opdagelsen af laserbaserede lydinjektionsangreb, at selvom det at have et smart hjem kan gøre tingene mere behagelige og sjovere, kan det også være farligt. Det betyder dog ikke, at du skal sige farvel til dine smarte hjemmeenheder for at være sikre. Det, vi i stedet anbefaler, er at du lærer, hvordan du forbedrer din smarthemmesikkerhed . Desuden skal du altid holde dig oppe på de nyeste cybersikkerhedsnyheder, så du ved, hvordan du beskytter dine enheder mod de nyeste trusler.