MEMS-beveiligingslek maakt het mogelijk om spraakassistenten te kapen, waaronder Alexa, Google Home of Siri

Virtuele assistenten zijn gemaakt om verschillende taken uit te voeren om ons leven gemakkelijker te maken. In de loop der jaren zijn ze veel veranderd, en tegenwoordig hebben we zelfs stemassistenten zoals Alexa en Siri die verschillende slimme apparaten kunnen bedienen en verschillende taken kunnen uitvoeren nadat we verbale opdrachten hebben gekregen. Veel gebruikers gebruiken ze om naar muziek te luisteren, het weer te bekijken of online te winkelen. Om deze taken te kunnen uitvoeren, moet een stemassistent natuurlijk toegang hebben tot de gebruikersaccounts en andere smart home-apparaten. Dus, het kapen kan aanvallers in staat stellen om op naam van het slachtoffer te winkelen, zijn apparaten aan en uit te zetten, enzovoort. Helaas hebben recente bevindingen aangetoond dat cybercriminelen hiervoor misschien niet eens kwaadaardige hulpmiddelen hoeven te gebruiken. Blijkbaar is het mogelijk dat een hacker een slimme assistent overneemt met behulp van een laserpointer, een audioversterker en een paar andere dingen. Voor meer informatie over deze ontdekking nodigen wij u uit om onze volledige blogpost te lezen.

Hoewel sommige mensen zich hun leven niet kunnen voorstellen zonder slimme huizen, vermijden sommige gebruikers te veel slimme apparaten uit angst voor hun veiligheid. Gebeurtenissen zoals die waarbij hackers eigenaren van een Nest-camera aanvielen of de ontdekking van een kwetsbaarheid in slimme deurbellen van Amazon , bewijzen alleen dat het gebruik van dergelijke apparaten altijd een risico is. Een apparaat met een spraakassistent die mogelijk is verbonden met alle slimme gadgets in uw huis, kan echter nog gevaarlijker zijn. Een paar maanden geleden hebben cybersecurity-specialisten bewezen dat stemassistenten door hackers via kwaadwillende applicaties konden worden gebruikt om zijn gebruikers te bespioneren . Nu lijkt het erop dat onderzoekers een aanval op stemassistenten hebben ontdekt waardoor cybercriminelen hen kunnen kapen en veel meer kunnen doen dan alleen luisteren naar wat u zegt.

Hoe kunnen hackers slimme assistenten overnemen?

Volgens onderzoekers van de University of Electro-Communications en University of Michigan die een paper publiceerden met de naam Light Commands: Laser-Based Audio Injection Attacks op Voice-Controllable Systems , zou een aanvaller misbruik kunnen maken van de zogenaamde MEMS (micro-electro-mechanische systemen) ) kwetsbaarheid voor kapingen van apparaten zoals Alexa , Portal , Google Assistant en Siri . Het lijkt erop dat microfoons op deze gadgets de genoemde zwakte kunnen hebben, en het kan worden benut door dingen als een laserpointer, audioversterker, audiokabel en laserstroomstuurprogramma te gebruiken. Door deze dingen te combineren, is het misschien mogelijk om een tool te maken waarmee een opgenomen commando in een spraakassistent kan worden geïnjecteerd. Met andere woorden, aanvallers kunnen communiceren met audio-assistenten door licht om te zetten in geluid en opgenomen commando's te injecteren via de microfoon van een gericht apparaat.

Wat hebben hackers nodig om de lasergebaseerde audio-injectie-aanvallen uit te voeren?

Gelukkig moeten hackers, om een apparaat te kapen en de zogenaamde lichtcommando's te geven, het gadget waarop ze zich richten moeten zien en zich binnen een afstand van 110 meter of minder bevinden. Onderzoekers zeggen ook dat hackers in sommige gevallen zelfs nog dichterbij moeten zijn om de MEMS-kwetsbaarheid te misbruiken. Het hangt allemaal af van het beoogde apparaat. Wat aanvallers kunnen doen nadat ze uw spraakassistent hebben gekaapt, kan afhangen van wat voor soort slimme apparaten u hebt en welke accounts zijn gekoppeld aan uw spraakassistent. Als u bijvoorbeeld Alexa aan uw Amazon- account hebt gekoppeld zodat het dingen voor u kon kopen, zou de aanvaller dit kunnen misbruiken om goederen voor zichzelf te kopen. Wat misschien nog enger klinkt, is dat aanvallers PIN-codes van uw slimme sloten bruut kunnen forceren of zelfs uw auto kunnen starten als deze is gekoppeld aan uw luidspreker.

Hoe beschermt u uw stemassistent tegen lasergebaseerde audio-injectie-aanvallen?

Onderzoekers zeggen dat het gebrek aan authenticatiemechanismen op microfoons het mogelijk maakt om succesvolle lasergebaseerde audio-injectie-aanvallen uit te voeren. De specialisten die dit hebben ontdekt, hebben natuurlijk al bedrijven die spraakbestuurbare systemen maken, op de hoogte gesteld van de MEMS-kwetsbaarheid. Het kan echter enige tijd duren voordat ze het probleem volledig begrijpen en een manier vinden om hun apparaten tegen de genoemde aanvallen te beschermen. Daarom moet je misschien, totdat het gebeurt, voorkomen dat hackers je stemassistent zelf kapen.

Zoals eerder vermeld, is het succes van dergelijke aanvallen niet afhankelijk van het misleiden van gebruikers om informatie te onthullen die zou helpen toegang te krijgen tot gerichte apparaten of schadelijke toepassingen die het zouden kunnen toestaan te laten vallen. Daarom zijn gebruikelijke veiligheidsmaatregelen, zoals het opletten voor verdachte toepassingen of het niet onzorgvuldig delen van uw gevoelige informatie, in dit specifieke geval van geen nut. In plaats daarvan is het raadzaam om uw apparaat uit de buurt van vensterbanken of plaatsen in uw huis te houden die zichtbaar kunnen zijn door de ramen. Als aanvallers hun lasers niet op de microfoon van uw apparaat kunnen richten, moet uw stemassistent veilig zijn.

Over het algemeen herinnert de ontdekking van lasergebaseerde audio-injectieaanvallen ons eraan dat hoewel een smart home dingen comfortabeler en leuker kan maken, het ook gevaarlijk kan zijn. Het betekent echter niet dat u vaarwel moet zeggen tegen uw smart home-apparaten om veilig te zijn. Wat we in plaats daarvan aanbevelen, is dat u leert hoe u uw smart home-beveiliging kunt verbeteren . Bovendien moet u altijd op de hoogte blijven van het laatste cybersecurity-nieuws, zodat u weet hoe u uw apparaten kunt beschermen tegen de nieuwste bedreigingen.