Уязвимость MEMS делает возможным хищение голосовых помощников, включая Alexa, Google Home или Siri

Виртуальные помощники были созданы для выполнения различных задач, чтобы облегчить нашу жизнь. За прошедшие годы они сильно изменились, и сегодня у нас даже есть голосовые помощники, такие как Alexa и Siri, которые могут управлять несколькими интеллектуальными устройствами и выполнять различные задачи после получения устных команд. Многие пользователи используют их для прослушивания музыки, проверки погоды или совершения покупок в Интернете. Конечно, чтобы выполнять эти задачи, голосовой помощник должен иметь доступ к учетным записям своих пользователей и другим устройствам «умного дома». Таким образом, его захват может позволить злоумышленникам совершать покупки на имя жертвы, включать и выключать его устройства и так далее. К сожалению, последние результаты показали, что киберпреступникам, возможно, даже не нужно использовать вредоносные инструменты для этого. По-видимому, хакер мог бы получить умного помощника с помощью лазерной указки, аудиоусилителя и нескольких других вещей. Чтобы узнать больше об этом открытии, мы приглашаем вас прочитать наш полный пост в блоге.

Хотя некоторые люди не могут представить свою жизнь без умных домов, некоторые пользователи избегают иметь слишком много умных устройств, опасаясь за свою безопасность. Подобные события, в ходе которых хакеры атаковали владельцев камеры Nest, или обнаружение уязвимости в интеллектуальных дверных звонках Amazon , лишь доказывают, что использование таких устройств всегда сопряжено с риском. Однако наличие устройства с голосовым помощником, которое может быть подключено ко всем интеллектуальным гаджетам в вашем доме, может быть еще более опасным. Несколько месяцев назад специалисты по кибербезопасности доказали, что хакеры могут использовать голосовых помощников через вредоносные приложения для слежки за своими пользователями . Похоже, что исследователи обнаружили атаку на голосовых помощников, которая может позволить киберпреступникам захватить их и сделать гораздо больше, чем просто слушать то, что вы говорите.

Как хакеры могут захватить умных помощников?

По словам исследователей из Университета Электрокоммуникаций и Университета Мичигана, которые опубликовали статью под названием « Легкие команды: лазерные инъекции звука на управляемых голосом системах» , злоумышленник может неправильно использовать так называемые MEMS (микроэлектромеханические системы). ) уязвимость для угона таких устройств, как Alexa , Portal , Google Assistant и Siri . Казалось бы, что микрофоны в этих гаджетах могут иметь упомянутую слабость, и это может быть использовано при использовании таких вещей, как лазерная указка, аудиоусилитель, аудиокабель и драйвер лазерного тока. Комбинируя эти вещи, можно создать инструмент, который позволял бы вводить записанную команду в голосовой помощник. Другими словами, злоумышленники могут общаться со звуковыми помощниками, преобразовывая свет в звук и вводя записанные команды через микрофон целевого устройства.

Что нужно хакерам для проведения атак с использованием лазерного инжектирования звука?

К счастью, чтобы захватить устройство и дать так называемые легкие команды, хакерам необходимо увидеть гаджет, на который они нацелены, а также находиться на расстоянии не более 110 метров. Кроме того, исследователи говорят, что в некоторых случаях хакерам, возможно, придется быть еще ближе, чтобы использовать уязвимость MEMS. Все зависит от целевого устройства. Что касается действий злоумышленников после захвата вашего голосового помощника, то это может зависеть от того, какие интеллектуальные устройства у вас есть и какие учетные записи связаны с вашим голосовым помощником. Например, если вы связали Alexa со своей учетной записью Amazon, чтобы он мог покупать вещи для вас, злоумышленник может использовать это для покупки товаров для себя. Что может показаться еще более пугающим, так это то, что злоумышленники могут взломать PIN-коды ваших умных замков или даже завести машину, если она связана с вашим динамиком.

Как защитить свой голосовой помощник от лазерных атак с помощью инъекций звука?

Исследователи говорят, что отсутствие механизмов аутентификации на микрофонах - это то, что позволяет проводить успешные лазерные атаки с использованием аудиоинъекции. Конечно, специалисты, обнаружившие это, уже уведомили компании, которые создают системы с голосовым управлением, об уязвимости MEMS. Однако может пройти некоторое время, прежде чем они полностью поймут проблему и найдут способ защитить свои устройства от упомянутых атак. Поэтому, пока это не произойдет, вам, возможно, придется помешать хакерам взломать ваш голосовой помощник самостоятельно.

Как упоминалось ранее, успех таких атак не зависит от того, чтобы обманным путем заставить пользователей раскрыть информацию, которая поможет получить доступ к целевым устройствам, или удалить вредоносные приложения, которые могут ее предоставить. Таким образом, обычные меры предосторожности, такие как наблюдение за подозрительными приложениями или небрежное раскрытие вашей конфиденциальной информации, могут быть бесполезны в данном конкретном случае. Вместо этого рекомендуется держать устройство вдали от подоконников или мест в вашем доме, которые могут быть видны через окна. Если злоумышленники не могут направить свои лазеры на микрофон вашего устройства, ваш голосовой помощник должен быть в безопасности.

В целом, обнаружение лазерных атак на аудио-инъекцию напоминает нам о том, что хотя умный дом может сделать вещи более удобными и веселыми, он также может быть опасным. Однако это не означает, что вы должны попрощаться со своими устройствами умного дома, чтобы быть в безопасности. Вместо этого мы рекомендуем вам узнать, как повысить безопасность вашего умного дома . Кроме того, вы всегда должны быть в курсе последних новостей о кибербезопасности, чтобы знать, как защитить свои устройства от новейших угроз.