MEMS漏洞使劫持语音助手(包括Alexa,Google Home或Siri)成为可能
虚拟助手的创建是为了执行各种任务,使我们的生活更轻松。多年来,它们已经发生了很大变化,今天,我们甚至拥有语音助手,例如Alexa和Siri ,它们可以在被口头命令之后控制多个智能设备并执行各种任务。许多用户使用它们来听音乐,查看天气或在线购物。当然,为了能够执行这些任务,语音助手必须有权访问其用户的帐户和其他智能家居设备。因此,劫持它可能使攻击者能够以受害者的名义购物,打开和关闭其设备等。不幸的是, 最近的发现表明,网络犯罪分子甚至可能不需要使用恶意工具。显然,黑客可能会借助激光指示器,音频放大器和其他一些东西来接管智能助手。要了解有关此发现的更多信息,我们邀请您阅读我们的完整博客文章。
虽然有些人无法想象没有智能家居的生活,但有些用户避免担心担心安全性而拥有太多智能设备。诸如黑客攻击Nest相机所有者或在Amazon智能门铃中发现漏洞之类的事件仅证明使用此类设备始终存在风险。但是,如果将带有语音助手的设备连接到家里的所有智能设备,则可能会更加危险。几个月前,网络安全专家证明,黑客可以通过恶意应用程序来使用语音助手来监视其用户 。现在,似乎研究人员发现了对语音助手的攻击,该攻击可能使网络罪犯劫持他们,并且做得比听您说的话多得多。
Table of Contents
黑客如何接管智能助手?
根据电子通信大学和密歇根大学的研究人员发表的论文《 光命令:对声控系统的基于激光的音频注入攻击》 ,攻击者可能滥用所谓的MEMS (微机电系统)。 )容易遭受劫持设备的影响,如Alexa , Portal , Google Assistant和Siri 。这些小工具上的麦克风似乎具有上述缺点,可以通过使用激光指示器,音频放大器,音频电缆和激光电流驱动器之类的东西加以利用。通过组合这些内容,可能会创建一个允许将录制的命令注入语音助手的工具。换句话说,攻击者可以通过将光转换为声音并通过目标设备的麦克风注入录制的命令来与音频助手进行通信。
黑客需要什么来进行基于激光的音频注入攻击?
幸运的是,要劫持设备并发出所谓的轻指令,黑客将需要看到他们所瞄准的小工具,并且它们必须在110米或更短的距离内。此外,研究人员说,在某些情况下,黑客可能必须更加接近才能利用MEMS漏洞。这完全取决于目标设备。至于攻击者劫持您的语音助手后可能会做什么,这可能取决于您拥有哪种智能设备以及与语音助手链接的帐户类型。例如,如果您将Alexa链接到您的Amazon帐户,从而可以为您购买商品,则攻击者可能会滥用此权限为自己购买商品。听起来更可怕的是,攻击者可能强行锁您智能锁的PIN码,或者如果您的汽车链接到扬声器,甚至会启动您的汽车。
如何保护语音助手免受基于激光的音频注入攻击?
研究人员说,麦克风上缺乏身份验证机制使成功进行基于激光的音频注入攻击成为可能。当然,发现这一点的专家已经通知了创建有关MEMS漏洞的语音可控系统的公司。但是,他们可能需要一些时间才能完全理解问题并找到保护设备免受上述攻击的方法。因此,在发生这种情况之前,您可能必须阻止黑客自己劫持语音助手。
如前所述,此类攻击的成功并不依赖于诱使用户泄露有助于获得对目标设备的访问权或丢弃可能授予其访问权限的恶意应用程序的信息。因此,在这种特殊情况下,通常的安全预防措施(例如当心可疑应用程序或不小心共享您的敏感信息)可能毫无用处。取而代之的是,建议使设备远离窗台或家中可透过窗户看到的地方。如果攻击者无法将激光对准您设备的麦克风,则语音助手应该是安全的。
总体而言,基于激光的音频注入攻击的发现提醒我们,拥有智能家居可能会让事情变得更舒适,更有趣,但同时也会带来危险。但是,这并不意味着您必须与智能家居设备道别才能安全。相反,我们建议您学习如何增强智能家居安全性 。此外,您应始终关注最新的网络安全新闻,以便知道如何保护设备免受最新威胁的侵害。