MEMSの脆弱性により、Alexa、Google Home、Siriなどの音声アシスタントをハイジャックすることが可能に
仮想アシスタントは、私たちの生活を楽にするためにさまざまなタスクを実行するために作成されました。長年にわたって、彼らは大きく変化しており、今日では、 AlexaやSiriのような音声アシスタントもあり、複数のスマートデバイスを制御し、口頭でコマンドを与えられた後にさまざまなタスクを実行できます。多くのユーザーは、音楽を聴いたり、天気を確認したり、オンラインショップで買い物をしたりします。もちろん、これらのタスクを実行するには、音声アシスタントがユーザーのアカウントやその他のスマートホームデバイスにアクセスできる必要があります。したがって、それをハイジャックすることで、攻撃者は被害者の名前で買い物をしたり、被害者のデバイスの電源を入れたり切ったりすることができます。残念ながら、 最近の調査結果から 、サイバー犯罪者は悪意のあるツールを使用する必要さえないことが明らかになりました。どうやら、ハッカーがレーザーポインター、オーディオアンプなどの助けを借りてスマートアシスタントを引き継ぐ可能性があります。この発見の詳細については、ブログ記事全体をお読みください。
スマートホームがないと自分の人生を想像できない人もいれば、セキュリティを恐れてあまりにも多くのスマートデバイスを持つことを避けているユーザーもいます。ハッカーがNestカメラの所有者を攻撃したり、 Amazonスマートドアベルの脆弱性を発見したりするようなイベントは、そのようなデバイスの使用が常にリスクであることを証明するだけです。ただし、自宅のすべてのスマートガジェットに接続できる音声アシスタント付きのデバイスを使用すると、さらに危険になる可能性があります。数ヶ月前、サイバーセキュリティの専門家は、音声アシスタントが悪意のあるアプリケーションを介してハッカーに雇われ、ユーザーをスパイできることを証明しました 。現在、研究者は、サイバー犯罪者がハイジャックし、あなたの言っていることに耳を傾ける以上のことを行うことができる音声アシスタントへの攻撃を発見したようです。
Table of Contents
ハッカーはスマートアシスタントをどのように引き継ぐことができますか?
電気通信大学とミシガン大学の研究者によると、 Light Commands:Laser-Based Audio Injection Attacks on Voice-Controllable Systemsと呼ばれる論文を発表した攻撃者は、いわゆるMEMS (マイクロエレクトロメカニカルシステム)を悪用する可能性があります) Alexa 、 Portal 、 Google Assistant 、 Siriなどのデバイスをハイジャックする脆弱性。これらのガジェットのマイクには前述の弱点があり、レーザーポインター、オーディオアンプ、オーディオケーブル、レーザー電流ドライバーなどを使用することで悪用される可能性があります。これらを組み合わせることにより、録音されたコマンドを音声アシスタントに注入できるツールを作成できる場合があります。つまり、攻撃者は、光を音に変換し、記録されたコマンドを標的のデバイスのマイクを介して注入することにより、オーディオアシスタントと通信できます。
ハッカーはレーザーベースのオーディオインジェクション攻撃を実行するために何を必要としますか?
幸いなことに、デバイスをハイジャックしていわゆるライトコマンドを与えるには、ハッカーはターゲットとするガジェットを確認し、110メートル以内の距離にいる必要があります。また、研究者によると、場合によっては、ハッカーはMEMSの脆弱性を悪用するためにさらに接近する必要があるかもしれません。すべて対象となるデバイスに依存します。音声アシスタントをハイジャックした後、攻撃者が何をするかについては、使用しているスマートデバイスの種類や、音声アシスタントにリンクされているアカウントの種類によって異なります。たとえば、AlexaをAmazonアカウントにリンクして商品を購入できるようにした場合、攻撃者はこれを悪用して自分で商品を購入できます。さらに恐ろしいと思われるのは、攻撃者がスマートロックのPINコードを総当たり攻撃したり、スピーカーにリンクされている場合は車を始動させたりする可能性があることです。
音声アシスタントをレーザーベースのオーディオインジェクション攻撃から保護する方法は?
研究者によると、マイクに認証メカニズムがないため、レーザーベースの音声注入攻撃を成功させることができます。もちろん、これを発見した専門家は、MEMSの脆弱性について音声制御可能なシステムを作成している企業に既に通知しています。ただし、問題を完全に理解し、前述の攻撃からデバイスを保護する方法を見つけるまでには時間がかかる場合があります。したがって、それが起こるまで、ハッカーが自分のボイスアシスタントをハイジャックしないようにする必要があります。
前述のように、このような攻撃の成功は、ユーザーをだまして標的のデバイスにアクセスするのに役立つ情報を明らかにしたり、それを許可する悪意のあるアプリケーションをドロップすることに依存しません。したがって、この特定のケースでは、疑わしいアプリケーションに注意したり、機密情報を不注意に共有しないなど、通常の安全対策は役に立たない可能性があります。代わりに、窓から見える窓辺や家の場所にデバイスを近づけないことをお勧めします。攻撃者がレーザーをデバイスのマイクに向けられない場合、音声アシスタントは安全なはずです。
全体として、レーザーベースのオーディオインジェクション攻撃の発見は、スマートホームを持つことで物事がより快適で楽しくなる可能性がある一方で、危険なこともあることを思い出させてくれます。ただし、スマートホームデバイスに別れを告げなければならないという意味ではありません。代わりに、スマートホームセキュリティを強化する方法を学ぶことをお勧めします。さらに、最新の脅威からデバイスを保護する方法を理解できるように、常に最新のサイバーセキュリティニュースを常に把握する必要があります。