La vulnérabilité MEMS rend possible le détournement des assistants vocaux, y compris Alexa, Google Home ou Siri

Des assistants virtuels ont été créés pour effectuer diverses tâches afin de nous faciliter la vie. Au fil des ans, ils ont beaucoup changé et, aujourd'hui, nous avons même des assistants vocaux comme Alexa et Siri qui peuvent contrôler plusieurs appareils intelligents et effectuer diverses tâches après avoir reçu des commandes verbales. De nombreux utilisateurs les utilisent pour écouter de la musique, consulter la météo ou faire des achats en ligne. Bien sûr, pour pouvoir effectuer ces tâches, un assistant vocal doit avoir accès aux comptes de ses utilisateurs et à d'autres appareils domestiques intelligents. Ainsi, le détournement pourrait permettre aux attaquants de magasiner au nom de la victime, d'allumer et d'éteindre ses appareils, etc. Malheureusement, des découvertes récentes ont révélé que les cybercriminels pourraient même ne pas avoir besoin d'utiliser des outils malveillants pour le faire. Apparemment, il pourrait être possible pour un pirate de prendre le contrôle d'un assistant intelligent à l'aide d'un pointeur laser, d'un amplificateur audio et de quelques autres choses. Pour en savoir plus sur cette découverte, nous vous invitons à lire notre article de blog complet.

Alors que certaines personnes ne peuvent pas imaginer leur vie sans maisons intelligentes, certains utilisateurs évitent d'avoir trop d'appareils intelligents par crainte pour leur sécurité. Des événements comme celui au cours duquel des pirates ont attaqué les propriétaires d'une caméra Nest ou la découverte d'une vulnérabilité dans les sonnettes intelligentes d'Amazon , prouvent seulement que l'utilisation de tels appareils est toujours un risque. Cependant, avoir un appareil avec un assistant vocal qui pourrait être connecté à tous les gadgets intelligents de votre maison pourrait être encore plus dangereux. Il y a quelques mois, des spécialistes de la cybersécurité ont prouvé que des assistants vocaux pouvaient être employés par des pirates via des applications malveillantes pour espionner ses utilisateurs . Maintenant, il semble que les chercheurs aient découvert une attaque contre les assistants vocaux qui pourrait permettre aux cybercriminels de les détourner et de faire bien plus qu'écouter ce que vous dites.

Comment les pirates pourraient-ils prendre le contrôle d'assistants intelligents?

Selon des chercheurs de l'Université d'Electro-Communications et de l'Université du Michigan qui ont publié un article intitulé Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems , un attaquant pourrait mal utiliser les soi-disant MEMS (systèmes micro-électro-mécaniques ) vulnérabilité aux appareils de piratage comme Alexa , Portal , Google Assistant et Siri . Il semblerait que les microphones de ces gadgets peuvent avoir la faiblesse mentionnée, et ils peuvent être exploités en utilisant des choses comme un pointeur laser, un amplificateur audio, un câble audio et un pilote de courant laser. En combinant ces choses, il pourrait être possible de créer un outil qui permettrait d'injecter une commande enregistrée dans un assistant vocal. En d'autres termes, les attaquants pourraient communiquer avec des assistants audio en transformant la lumière en son et en injectant des commandes enregistrées via le microphone d'un appareil ciblé.

De quoi les pirates ont-ils besoin pour mener à bien les attaques par injection audio au laser?

Heureusement, pour détourner un appareil et donner les soi-disant commandes légères, les pirates auraient besoin de voir le gadget qu'ils visent ainsi que d'être à une distance de 110 mètres ou moins. De plus, les chercheurs disent que dans certains cas, les pirates pourraient être encore plus proches pour exploiter la vulnérabilité MEMS. Tout dépend de l'appareil ciblé. Quant à ce que les attaquants pourraient faire une fois qu'ils détourneraient votre assistant vocal, cela pourrait dépendre du type d'appareils intelligents dont vous disposez et du type de comptes liés à votre assistant vocal. Par exemple, si vous avez lié Alexa à votre compte Amazon afin qu'il puisse acheter des choses pour vous, l'attaquant pourrait en abuser pour acheter des marchandises pour lui-même. Ce qui peut sembler encore plus effrayant, c'est que les attaquants pourraient forcer les codes PIN de vos serrures intelligentes ou même démarrer votre voiture si elle est liée à votre haut-parleur.

Comment protéger votre assistant vocal contre les attaques par injection audio au laser?

Les chercheurs disent que le manque de mécanismes d'authentification sur les microphones est ce qui permet de mener à bien des attaques par injection audio laser. Bien sûr, les spécialistes qui ont découvert cela ont déjà informé les entreprises qui créent des systèmes contrôlables par la voix de la vulnérabilité MEMS. Cependant, cela peut prendre du temps jusqu'à ce qu'ils comprennent parfaitement le problème et trouvent un moyen de protéger leurs appareils contre les attaques mentionnées. Par conséquent, jusqu'à ce que cela se produise, vous devrez peut-être empêcher les pirates de pirater vous-même votre assistant vocal.

Comme mentionné précédemment, le succès de telles attaques ne repose pas sur le fait d'inciter les utilisateurs à révéler des informations qui permettraient d'accéder à des appareils ciblés ou de supprimer des applications malveillantes qui pourraient les accorder. Ainsi, les précautions de sécurité habituelles, telles que la surveillance des applications suspectes ou le fait de ne pas partager négligemment vos informations sensibles, pourraient ne pas être utiles, dans ce cas particulier. Au lieu de cela, il est conseillé de garder votre appareil loin des rebords de fenêtre ou des endroits de votre maison qui pourraient être visibles à travers les fenêtres. Si les attaquants ne peuvent pas pointer leurs lasers vers le microphone de votre appareil, votre assistant vocal doit être en sécurité.

Dans l'ensemble, la découverte d'attaques par injection audio à base de laser nous rappelle que, bien qu'avoir une maison intelligente puisse rendre les choses plus confortables et plus amusantes, cela peut aussi être dangereux. Cependant, cela ne signifie pas que vous devez dire au revoir à vos appareils domestiques intelligents pour être en sécurité. Nous vous recommandons plutôt d'apprendre à améliorer la sécurité de votre maison intelligente . En outre, vous devez toujours rester au courant des dernières nouvelles en matière de cybersécurité afin de savoir comment protéger vos appareils contre les dernières menaces.

February 24, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.