Vulnerabilidade de MEMS torna possível seqüestrar assistentes de voz, incluindo Alexa, Google Home ou Siri
Assistentes virtuais foram criados para executar várias tarefas para facilitar nossa vida. Ao longo dos anos, eles mudaram muito e, hoje, temos assistentes de voz como Alexa e Siri que podem controlar vários dispositivos inteligentes e executar várias tarefas depois de receberem comandos verbais. Muitos usuários os usam para ouvir música, verificar o clima ou fazer compras online. Obviamente, para poder executar essas tarefas, um assistente de voz precisa ter acesso às contas de seus usuários e outros dispositivos domésticos inteligentes. Assim, o seqüestro pode permitir que os atacantes comprem o nome da vítima, liguem e desliguem seus dispositivos e assim por diante. Infelizmente, descobertas recentes revelaram que os cibercriminosos podem nem precisar usar ferramentas maliciosas para fazer isso. Aparentemente, pode ser possível que um hacker assuma um assistente inteligente com a ajuda de um ponteiro laser, amplificador de áudio e algumas outras coisas. Para saber mais sobre essa descoberta, convidamos você a ler nossa postagem no blog completa.
Enquanto algumas pessoas não conseguem imaginar suas vidas sem casas inteligentes, alguns usuários evitam ter muitos dispositivos inteligentes com medo de sua segurança. Eventos como aquele durante o qual os hackers atacaram os proprietários de uma câmera Nest ou a descoberta de uma vulnerabilidade nas campainhas inteligentes da Amazon apenas provam que o uso desses dispositivos é sempre um risco. No entanto, ter um dispositivo com um assistente de voz que possa estar conectado a todos os dispositivos inteligentes em sua casa pode ser ainda mais perigoso. Alguns meses atrás, especialistas em segurança cibernética provaram que assistentes de voz podiam ser empregados por hackers por meio de aplicativos maliciosos para espionar seus usuários . Agora, parece que os pesquisadores descobriram um ataque a assistentes de voz que poderia permitir que os cibercriminosos os sequestrassem e fizessem muito mais do que ouvir o que você estava dizendo.
Índice
Como os hackers poderiam assumir assistentes inteligentes?
De acordo com pesquisadores da Universidade de Eletro-Comunicações e da Universidade de Michigan, que publicaram um artigo chamado Light Commands: Ataques de Injeção de Áudio com Laser em Sistemas Controláveis por Voz , um invasor pode usar indevidamente os chamados MEMS (sistemas micro-eletro-mecânicos) ) vulnerabilidade a seqüestrar dispositivos como Alexa , Portal , Google Assistant e Siri . Parece que os microfones nesses aparelhos podem ter a fraqueza mencionada e podem ser explorados empregando coisas como ponteiro laser, amplificador de áudio, cabo de áudio e driver de corrente a laser. Combinando essas coisas, pode ser possível criar uma ferramenta que permita injetar um comando gravado em um assistente de voz. Em outras palavras, os invasores podem se comunicar com os assistentes de áudio transformando a luz em som e injetando comandos gravados por meio do microfone de um dispositivo alvo.
O que os hackers precisam para realizar os ataques de injeção de áudio com laser?
Felizmente, para seqüestrar um dispositivo e dar os chamados comandos leves, os hackers precisariam ver o gadget que eles estavam alvejando e estar a uma distância de 110 metros ou menos. Além disso, os pesquisadores dizem que, em alguns casos, os hackers podem estar ainda mais próximos para explorar a vulnerabilidade do MEMS. Tudo depende do dispositivo de destino. Quanto ao que os invasores podem fazer quando sequestram seu assistente de voz, isso pode depender de que tipo de dispositivos inteligentes você possui e que tipo de contas estão vinculadas ao seu assistente de voz. Por exemplo, se você vinculou o Alexa à sua conta da Amazon para que ela pudesse comprar coisas para você, o invasor poderia usar isso incorretamente para comprar mercadorias para si. O que pode parecer ainda mais assustador é que os invasores podem usar códigos PIN de força bruta de seus bloqueios inteligentes ou até dar partida no seu carro se ele estiver vinculado ao seu alto-falante.
Como proteger seu assistente de voz contra ataques de injeção de áudio com laser?
Os pesquisadores dizem que a falta de mecanismos de autenticação em microfones é o que torna possível realizar ataques de injeção de áudio baseados em laser. Obviamente, os especialistas que descobriram isso já notificaram as empresas que criam sistemas controláveis por voz sobre a vulnerabilidade do MEMS. No entanto, pode levar algum tempo até que eles entendam completamente o problema e encontrem uma maneira de proteger seus dispositivos dos ataques mencionados. Portanto, até que isso aconteça, talvez você precise impedir que os hackers sequestrem seu assistente de voz.
Como mencionado anteriormente, o sucesso de tais ataques não depende de enganar os usuários para revelar informações que ajudariam a obter acesso a dispositivos de destino ou a remover aplicativos maliciosos que poderiam concedê-los. Portanto, precauções de segurança comuns, como cuidar de aplicativos suspeitos ou não compartilhar suas informações confidenciais de forma descuidada, podem não ter utilidade nesse caso específico. Em vez disso, é aconselhável manter o dispositivo longe de peitoris de janelas ou de lugares em sua casa que possam ser visíveis através das janelas. Se os invasores não puderem apontar seus lasers para o microfone do seu dispositivo, seu assistente de voz deve estar seguro.
No geral, a descoberta de ataques de injeção de áudio com laser nos lembra que, embora ter uma casa inteligente possa tornar as coisas mais confortáveis e divertidas, também pode ser perigoso. No entanto, isso não significa que você tenha que se despedir de seus dispositivos domésticos inteligentes para estar seguro. O que recomendamos é que você aprenda a aprimorar sua segurança doméstica inteligente . Além disso, você deve sempre ficar por dentro das últimas notícias de segurança cibernética para saber como proteger seus dispositivos contra as ameaças mais recentes.
