Trợ lý giọng nói giúp bạn làm các công việc hàng ngày - có thể là hẹn khách hàng chơi nhạc và hơn thế nữa. Thị trường liên quan đến trợ lý giọng nói có đầy đủ các tùy chọn: Google , Siri , Alexa và Bixby . Các trợ lý này được kích hoạt bằng lệnh thoại và hoàn thành công việc. Ví dụ: bạn có thể yêu cầu Alexa phát một số bài hát mà bạn chọn. Những thiết bị này có thể bị chiếm đoạt và sử dụng chống lại chủ sở hữu của thiết bị. Hôm nay, chúng ta sẽ tìm hiểu về Tấn công Lướt sóng^{(Surfing Attacks)} sử dụng sóng Siêu âm^(Ultrasound) và những vấn đề tiềm ẩn mà nó đặt ra.

Tấn công Lướt sóng là gì?

Các thiết bị thông minh được trang bị trợ lý giọng nói như Google Home Assistant , Alexa từ Amazon , Siri của Apple và một số trợ lý giọng nói không phổ biến. Tôi không thể tìm thấy bất kỳ định nghĩa nào trên Internet , vì vậy tôi định nghĩa nó như sau:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Bạn có thể đã biết rằng tai người chỉ có thể cảm nhận âm thanh trong một dải tần số (20 Hz đến 20KHz. Nếu bất kỳ ai gửi tín hiệu âm thanh nằm ngoài dải phổ âm thanh của tai người, người đó không thể nghe thấy chúng. Tương tự với Siêu âm^{(Ultrasounds)} . Tần số là nằm ngoài nhận thức của tai người.

Những kẻ xấu bắt đầu sử dụng sóng Siêu âm^(Ultrasound) để chiếm đoạt các thiết bị như điện thoại thông minh và nhà thông minh sử dụng lệnh thoại. Những khẩu lệnh này ở tần số sóng Siêu âm^(Ultrasound) nằm ngoài khả năng nhận thức của con người. Điều đó cho phép tin tặc có được thông tin họ muốn (được lưu trữ trong các thiết bị thông minh kích hoạt bằng giọng nói), với sự trợ giúp của trợ lý âm thanh. Họ sử dụng âm thanh không nghe được cho phần cuối này.

Đối với các cuộc tấn công lướt web, tin tặc không cần thiết phải ở trong tầm ngắm của thiết bị thông minh để điều khiển nó bằng trợ lý giọng nói. Ví dụ, nếu một chiếc iPhone được đặt trên bàn, mọi người cho rằng giọng nói có thể di chuyển trong không khí nên nếu lệnh thoại truyền qua không khí, họ có thể nhận thấy tin tặc. Nhưng thực tế không phải như vậy vì sóng thoại chỉ cần một chất dẫn điện để lan truyền.

Biết^(Know) rằng đồ tạo tác bằng rắn cũng có thể giúp truyền giọng nói miễn là chúng có thể rung. Bàn làm bằng gỗ vẫn có thể truyền sóng giọng nói qua gỗ. Đây là những sóng Siêu âm^(Ultrasound) đang được sử dụng làm lệnh để hoàn thành công việc bất hợp pháp trên điện thoại thông minh của người dùng mục tiêu hoặc các thiết bị thông minh khác sử dụng trợ lý giọng nói như Google Home hoặc Alexa .

Đọc^(Read) : Tấn công bằng Phun mật khẩu^{(Password Spray Attack)} là gì?

Làm thế nào để các cuộc tấn công lướt sóng hoạt động?

Sử dụng sóng siêu âm không nghe được có thể truyền qua bề mặt nơi lưu giữ máy móc. Ví dụ, nếu điện thoại để trên bàn gỗ, tất cả những gì họ cần làm là gắn một chiếc máy vào bàn có thể gửi sóng siêu âm để tấn công lướt web.

Trên thực tế, một thiết bị được gắn vào bàn của nạn nhân hoặc bất kỳ bề mặt nào mà họ đang sử dụng để đặt trợ lý giọng nói lên. Đầu tiên thiết bị này giảm âm lượng của trợ lý thông minh để nạn nhân không nghi ngờ điều gì. Lệnh đến thông qua thiết bị gắn liền với bảng và phản hồi đối với lệnh cũng được thu thập bởi cùng một máy hoặc một thứ khác có thể ở một nơi xa.

Ví dụ, một lệnh có thể được đưa ra với nội dung “ Alexa , vui lòng đọc tin nhắn SMS^(SMS) tôi vừa nhận được”. Những người trong phòng không nghe được lệnh này. Alexa đọc tin nhắn SMS^(SMS) có chứa OTP (mật khẩu dùng một lần) bằng một giọng cực kỳ nhỏ. Phản hồi này một lần nữa được thiết bị tấn công ghi lại và gửi đến bất cứ nơi nào mà tin tặc muốn.

Các cuộc tấn công như vậy được gọi là các cuộc tấn công^(Attacks) Lướt sóng . Tôi đã cố gắng xóa tất cả các từ chuyên môn khỏi bài viết để ngay cả một người không chuyên về công nghệ cũng có thể hiểu được vấn đề này. Đối với cách đọc nâng cao, đây là một liên kết đến một bài báo nghiên cứu^{(a link to a research paper)} giải thích nó tốt hơn.

Đọc tiếp^{(Read next)} : Cuộc tấn công của Living Off The Land^{(What are Living Off The Land attacks)} là gì?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voice Assistants help you with daily сhores – be it making an appointment with a client to playing music and more. The market related to voice assiѕtants is full of options: Google, Siri, Alеxa, and Bixby. Theѕe assistants are activated using vоice commands and get things done. For example, уou can ask Alexa to play some songs of your choice. These devices can be hijacked and usеd against the owner of the device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Related posts

• Siri, Trợ lý Google và Cortana - Ba trợ lý kỹ thuật số được so sánh

• Các plugin thông minh tốt nhất năm 2019 hoạt động với Alexa và Google Home

• Shodan là search engine cho các thiết bị kết nối Internet

• Internet của Things (IoT) - Câu hỏi thường gặp (FAQ)

• Ai sở hữu IoT Data? Manufacturer, End User, hoặc một số bên thứ ba?

• Cách in các ô đã chọn trong Excel or Google Sheets trên một trang

• Cách thay đổi Default Print Settings trong Google Chrome

• Cách thực thi Google SafeSearch trong Microsoft Edge trong Windows 10

• Google vs Bing - Tìm đúng search engine cho bạn

• Fix Google Docs Spellcheck không hoạt động đúng

• Cách khắc phục lỗi File Download trên Google Chrome browser

• Cách chuyển đổi Documents sang PDF với Google Docs bằng trình duyệt

• Cách xóa Google Stadia account

• Video Google Drive không được phát hoặc hiển thị blank screen

• Internet của Things là gì - giới thiệu Skynet!

• Làm thế nào để làm cho Google Slides loop mà không xuất bản

• Làm thế nào để Create and Delete Profiles trong trình duyệt web Google Chrome

• Google Docs Keyboard Shortcuts cho PC Windows 10

• Download official Google Chrome chủ đề cho trình duyệt của bạn

• Làm thế nào để văn bản xoay trong ứng dụng web Google Sheets