Các cuộc tấn công lướt sóng: Hijack Siri, Alexa, Google, Bixby với sóng siêu âm
Trợ lý giọng nói giúp bạn làm các công việc hàng ngày - có thể là hẹn khách hàng chơi nhạc và hơn thế nữa. Thị trường liên quan đến trợ lý giọng nói có đầy đủ các tùy chọn: Google , Siri , Alexa và Bixby . Các trợ lý này được kích hoạt bằng lệnh thoại và hoàn thành công việc. Ví dụ: bạn có thể yêu cầu Alexa phát một số bài hát mà bạn chọn. Những thiết bị này có thể bị chiếm đoạt và sử dụng chống lại chủ sở hữu của thiết bị. Hôm nay, chúng ta sẽ tìm hiểu về Tấn công Lướt sóng(Surfing Attacks) sử dụng sóng Siêu âm(Ultrasound) và những vấn đề tiềm ẩn mà nó đặt ra.
Tấn công Lướt sóng là gì?
Các thiết bị thông minh được trang bị trợ lý giọng nói như Google Home Assistant , Alexa từ Amazon , Siri của Apple và một số trợ lý giọng nói không phổ biến. Tôi không thể tìm thấy bất kỳ định nghĩa nào trên Internet , vì vậy tôi định nghĩa nó như sau:
“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.
Bạn có thể đã biết rằng tai người chỉ có thể cảm nhận âm thanh trong một dải tần số (20 Hz đến 20KHz. Nếu bất kỳ ai gửi tín hiệu âm thanh nằm ngoài dải phổ âm thanh của tai người, người đó không thể nghe thấy chúng. Tương tự với Siêu âm(Ultrasounds) . Tần số là nằm ngoài nhận thức của tai người.
Những kẻ xấu bắt đầu sử dụng sóng Siêu âm(Ultrasound) để chiếm đoạt các thiết bị như điện thoại thông minh và nhà thông minh sử dụng lệnh thoại. Những khẩu lệnh này ở tần số sóng Siêu âm(Ultrasound) nằm ngoài khả năng nhận thức của con người. Điều đó cho phép tin tặc có được thông tin họ muốn (được lưu trữ trong các thiết bị thông minh kích hoạt bằng giọng nói), với sự trợ giúp của trợ lý âm thanh. Họ sử dụng âm thanh không nghe được cho phần cuối này.
Đối với các cuộc tấn công lướt web, tin tặc không cần thiết phải ở trong tầm ngắm của thiết bị thông minh để điều khiển nó bằng trợ lý giọng nói. Ví dụ, nếu một chiếc iPhone được đặt trên bàn, mọi người cho rằng giọng nói có thể di chuyển trong không khí nên nếu lệnh thoại truyền qua không khí, họ có thể nhận thấy tin tặc. Nhưng thực tế không phải như vậy vì sóng thoại chỉ cần một chất dẫn điện để lan truyền.
Biết(Know) rằng đồ tạo tác bằng rắn cũng có thể giúp truyền giọng nói miễn là chúng có thể rung. Bàn làm bằng gỗ vẫn có thể truyền sóng giọng nói qua gỗ. Đây là những sóng Siêu âm(Ultrasound) đang được sử dụng làm lệnh để hoàn thành công việc bất hợp pháp trên điện thoại thông minh của người dùng mục tiêu hoặc các thiết bị thông minh khác sử dụng trợ lý giọng nói như Google Home hoặc Alexa .
Đọc(Read) : Tấn công bằng Phun mật khẩu(Password Spray Attack) là gì?
Làm thế nào để các cuộc tấn công lướt sóng hoạt động?
Sử dụng sóng siêu âm không nghe được có thể truyền qua bề mặt nơi lưu giữ máy móc. Ví dụ, nếu điện thoại để trên bàn gỗ, tất cả những gì họ cần làm là gắn một chiếc máy vào bàn có thể gửi sóng siêu âm để tấn công lướt web.
Trên thực tế, một thiết bị được gắn vào bàn của nạn nhân hoặc bất kỳ bề mặt nào mà họ đang sử dụng để đặt trợ lý giọng nói lên. Đầu tiên thiết bị này giảm âm lượng của trợ lý thông minh để nạn nhân không nghi ngờ điều gì. Lệnh đến thông qua thiết bị gắn liền với bảng và phản hồi đối với lệnh cũng được thu thập bởi cùng một máy hoặc một thứ khác có thể ở một nơi xa.
Ví dụ, một lệnh có thể được đưa ra với nội dung “ Alexa , vui lòng đọc tin nhắn SMS(SMS) tôi vừa nhận được”. Những người trong phòng không nghe được lệnh này. Alexa đọc tin nhắn SMS(SMS) có chứa OTP (mật khẩu dùng một lần) bằng một giọng cực kỳ nhỏ. Phản hồi này một lần nữa được thiết bị tấn công ghi lại và gửi đến bất cứ nơi nào mà tin tặc muốn.
Các cuộc tấn công như vậy được gọi là các cuộc tấn công(Attacks) Lướt sóng . Tôi đã cố gắng xóa tất cả các từ chuyên môn khỏi bài viết để ngay cả một người không chuyên về công nghệ cũng có thể hiểu được vấn đề này. Đối với cách đọc nâng cao, đây là một liên kết đến một bài báo nghiên cứu(a link to a research paper) giải thích nó tốt hơn.
Đọc tiếp(Read next) : Cuộc tấn công của Living Off The Land(What are Living Off The Land attacks) là gì?
Related posts
Siri, Trợ lý Google và Cortana - Ba trợ lý kỹ thuật số được so sánh
Các plugin thông minh tốt nhất năm 2019 hoạt động với Alexa và Google Home
Shodan là search engine cho các thiết bị kết nối Internet
Internet của Things (IoT) - Câu hỏi thường gặp (FAQ)
Ai sở hữu IoT Data? Manufacturer, End User, hoặc một số bên thứ ba?
Cách in các ô đã chọn trong Excel or Google Sheets trên một trang
Cách thay đổi Default Print Settings trong Google Chrome
Cách thực thi Google SafeSearch trong Microsoft Edge trong Windows 10
Google vs Bing - Tìm đúng search engine cho bạn
Fix Google Docs Spellcheck không hoạt động đúng
Cách khắc phục lỗi File Download trên Google Chrome browser
Cách chuyển đổi Documents sang PDF với Google Docs bằng trình duyệt
Cách xóa Google Stadia account
Video Google Drive không được phát hoặc hiển thị blank screen
Internet của Things là gì - giới thiệu Skynet!
Làm thế nào để làm cho Google Slides loop mà không xuất bản
Làm thế nào để Create and Delete Profiles trong trình duyệt web Google Chrome
Google Docs Keyboard Shortcuts cho PC Windows 10
Download official Google Chrome chủ đề cho trình duyệt của bạn
Làm thế nào để văn bản xoay trong ứng dụng web Google Sheets