MEMS漏洞使劫持語音助手(包括Alexa,Google Home或Siri)成為可能
虛擬助手的創建是為了執行各種任務,使我們的生活更輕鬆。多年來,它們已經發生了很大變化,今天,我們甚至擁有語音助手,例如Alexa和Siri ,它們可以在被口頭命令之後控制多個智能設備並執行各種任務。許多用戶使用它們來聽音樂,查看天氣或在線購物。當然,為了能夠執行這些任務,語音助手必須有權訪問其用戶的帳戶和其他智能家居設備。因此,劫持它可能使攻擊者能夠以受害者的名義購物,打開和關閉其設備等。不幸的是, 最近的發現表明,網絡犯罪分子甚至可能不需要使用惡意工具。顯然,黑客可能會藉助激光指示器,音頻放大器和其他一些東西來接管智能助手。要了解有關此發現的更多信息,我們邀請您閱讀我們的完整博客文章。
雖然有些人無法想像沒有智能家居的生活,但有些用戶避免擔心擔心安全性而擁有太多智能設備。諸如黑客攻擊Nest相機所有者或在Amazon智能門鈴中發現漏洞之類的事件僅證明使用此類設備始終存在風險。但是,如果將帶有語音助手的設備連接到家裡的所有智能設備,則可能會更加危險。幾個月前,網絡安全專家證明,黑客可以通過惡意應用程序來使用語音助手來監視其用戶 。現在,似乎研究人員發現了對語音助手的攻擊,該攻擊可能使網絡罪犯劫持他們,並且做得比聽您說的話多得多。
Table of Contents
黑客如何接管智能助手?
根據電子通信大學和密歇根大學的研究人員發表的論文《 光命令:對語音可控系統的基於激光的音頻注入攻擊》 ,攻擊者可能濫用所謂的MEMS (微機電系統)。 )容易遭受劫持設備的影響,如Alexa , Portal , Google Assistant和Siri 。這些小工具上的麥克風似乎具有上述缺點,可以通過使用激光指示器,音頻放大器,音頻電纜和激光電流驅動器之類的東西加以利用。通過組合這些內容,可能會創建一個允許將錄製的命令注入語音助手的工具。換句話說,攻擊者可以通過將光轉換為聲音並通過目標設備的麥克風注入錄製的命令來與音頻助手進行通信。
黑客需要什麼來進行基於激光的音頻注入攻擊?
幸運的是,要劫持設備並發出所謂的輕指令,黑客將需要看到他們所瞄準的小工具,並且它們必須在110米或更短的距離內。此外,研究人員說,在某些情況下,黑客可能必須更加接近才能利用MEMS漏洞。這完全取決於目標設備。至於攻擊者劫持您的語音助手後可能會做什麼,這可能取決於您擁有哪種智能設備以及與該語音助手關聯的帳戶類型。例如,如果您將Alexa鏈接到您的Amazon帳戶,從而可以為您購買商品,則攻擊者可能會濫用此權限為自己購買商品。聽起來更可怕的是,攻擊者可能強行鎖您智能鎖的PIN碼,或者如果您的汽車鏈接到揚聲器,甚至會啟動您的汽車。
如何保護語音助手免受基於激光的音頻注入攻擊?
研究人員說,麥克風上缺乏身份驗證機制使成功進行基於激光的音頻注入攻擊成為可能。當然,發現這一點的專家已經通知了創建有關MEMS漏洞的語音可控系統的公司。但是,他們可能需要一些時間才能完全理解問題並找到保護其設備免受上述攻擊的方法。因此,在發生這種情況之前,您可能必須阻止黑客自己劫持語音助手。
如前所述,此類攻擊的成功並不依賴於誘使用戶洩露有助於獲得對目標設備的訪問權或丟棄可能授予其訪問權限的惡意應用程序的信息。因此,在這種特殊情況下,通常的安全預防措施(例如當心可疑應用程序或不小心共享您的敏感信息)可能毫無用處。取而代之的是,建議使設備遠離窗台或家中可透過窗戶看到的地方。如果攻擊者無法將激光對準您設備的麥克風,則語音助手應該是安全的。
總體而言,基於激光的音頻注入攻擊的發現提醒我們,擁有智能家居可能會讓事情變得更舒適,更有趣,但同時也會帶來危險。但是,這並不意味著您必須與智能家居設備道別才能安全。相反,我們建議您學習如何增強智能家居安全性 。此外,您應始終關注最新的網絡安全新聞,以便知道如何保護設備免受最新威脅的侵害。
