MEMS-sikkerhetsproblemer gjør det mulig å kapre taleassistenter, inkludert Alexa, Google Home eller Siri

Virtuelle assistenter ble opprettet for å utføre forskjellige oppgaver for å gjøre livene våre enklere. I løpet av årene har de endret seg mye, og i dag har vi til og med stemmeassistenter som Alexa og Siri som kan kontrollere flere smarte enheter og utføre forskjellige oppgaver etter å ha fått muntlige kommandoer. Mange brukere bruker dem til å lytte til musikk, sjekke været eller handle online. For å kunne utføre disse oppgavene, må en stemmeassistent selvfølgelig ha tilgang til brukerens kontoer og andre smarte hjemmeenheter. Således kan kapring av det tillate angripere å handle i offerets navn, slå av og på enhetene hans og så videre. Dessverre avslørte nyere funn at nettkriminelle kanskje ikke engang trenger å bruke skadelige verktøy for å gjøre det. Tilsynelatende kan det være mulig for en hacker å overta en smart assistent ved hjelp av en laserpeker, lydforsterker og noen få andre ting. For å lære mer om dette funnet, inviterer vi deg til å lese hele blogginnlegget vårt.

Mens noen mennesker ikke kan forestille seg livene sine uten smarte hjem, unngår noen brukere å ha for mange smarte enheter i frykt for deres sikkerhet. Hendelser som den der hackere angrep eiere av et Nest-kamera eller oppdagelsen av en sårbarhet i Amazonas smarte dørklokker , viser bare at bruk av slike enheter alltid er en risiko. Å ha en enhet med en taleassistent som kan være koblet til alle smarte dingser i hjemmet ditt, kan imidlertid være enda farligere. For noen måneder siden beviste spesialister innen cybersikkerhet at stemmeassistenter kunne ansettes av hackere via ondsinnede applikasjoner for å spionere på brukerne . Nå ser det ut som forskere oppdaget et angrep på stemmeassistenter som kan tillate nettkriminelle å kapre dem og gjøre mye mer enn å lytte til hva du sier.

Hvordan kunne hackere ta over smarte assistenter?

I følge forskere fra University of Electro-Communications og University of Michigan som publiserte et papir som heter Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems , kunne en angriper misbruke de såkalte MEMS (mikroelektro-mekaniske systemer) ) sårbarhet for kapring av enheter som Alexa , Portal , Google Assistant og Siri . Det ser ut til at mikrofoner på disse dingsene kan ha den nevnte svakheten, og det kan utnyttes ved å bruke ting som en laserpeker, lydforsterker, lydkabel og laserstrømdriver. Ved å kombinere disse tingene, kan det være mulig å lage et verktøy som gjør det mulig å injisere en innspilt kommando i en stemmeassistent. Med andre ord, angripere kunne kommunisere med lydassistenter ved å transformere lys til lyd og injisere innspilte kommandoer via en målrettet enhets mikrofon.

Hva trenger hackere for å utføre de laserbaserte lydinjeksjonsangrepene?

Heldigvis, for å kapre en enhet og gi de såkalte lyskommandoene, må hackere se gadgeten de målretter mot, samt være innenfor en avstand på 110 meter eller mindre. Forskere sier også at i noen tilfeller kan hackere måtte være enda nærmere for å utnytte MEMS-sårbarheten. Det hele avhenger av den målrettede enheten. Når det gjelder hva som angripere kan gjøre når de kaprer stemmeassistenten, kan det avhenge av hva slags smarte enheter du har og hva slags kontoer som er knyttet til stemmeassistenten. Hvis du for eksempel koblet Alexa til Amazon- kontoen din slik at den kunne kjøpe ting for deg, kan angriperen misbruke dette for å kjøpe varer for seg selv. Det som kan høres enda skumlere ut er at angripere kan tømme PIN-koder for smarte låser eller til og med starte bilen hvis den er koblet til høyttaleren din.

Hvordan beskytter du stemmeassistenten mot laserbaserte lydinjeksjonsangrep?

Forskere sier at mangelen på autentiseringsmekanismer på mikrofoner er det som gjør det mulig å utføre vellykkede laserbaserte lydinjeksjonsangrep. Selvfølgelig har spesialistene som oppdaget dette allerede varslet selskaper som lager stemmestyrbare systemer om MEMS-sårbarheten. Det kan imidlertid ta tid før de fullt ut forstår problemet og finner en måte å beskytte enhetene sine mot de nevnte angrepene. Derfor, til det skjer, kan det hende du må stoppe hackere fra å kapre stemmeassistenten din selv.

Som nevnt tidligere, er ikke suksessen med slike angrep ikke avhengig av å lure brukere til å avsløre informasjon som kan hjelpe deg med å få tilgang til målrettede enheter eller slippe skadelige applikasjoner som kan gi den. Vanlige sikkerhetsforholdsregler, som å passe på mistenkelige applikasjoner eller ikke dele sensitiv informasjon uforsiktig, kan derfor ikke være til nytte, i dette tilfellet. I stedet anbefales det å holde enheten borte fra vinduskarm eller steder i hjemmet som kan være synlige gjennom vinduene. Hvis angriperne ikke kan peke lasrene sine på enhetens mikrofon, bør stemmeassistenten være trygg.

Totalt sett minner funnet om laserbaserte lydinjeksjonsangrep at selv om det å ha et smarthus kan gjøre ting mer behagelig og morsommere, kan det også være farlig. Det betyr imidlertid ikke at du må ta farvel med smarte hjemmenhetene dine for å være trygge. Det vi i stedet anbefaler, er at du lærer hvordan du forbedrer smarthemmesikkerheten din . Dessuten bør du alltid holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, slik at du vet hvordan du kan beskytte enhetene dine mot de siste truslene.