Как стать автором
Обновить

Хакерские атаки на голосовых помощников: что грозит вашему устройству

Время на прочтение3 мин
Количество просмотров1.3K

Неприятно, но не страшно, если колонка с голосовым помощником, подвергнувшись кибератаке, внезапно запоёт посреди ночи. Совсем другая история, если колонка подключена к умному дому и умеет [звучит зловещая музыка] открывать входную дверь.

Хакеры могут проделывать такие трюки при помощи ультразвука. Метод получил название ультразвуковая атака или DolphinAttack.

Как выяснили исследователи из двух университетов в США и Китае, умная колонка или любое другое устройство с голосовым помощником может слышать скрытые команды. Они передаются на частоте ультразвука, человек их не слышит, а устройство — распознаёт и выполняет. 

При чём здесь дельфины

Принцип атаки прост. Микрофоны в современных устройствах преобразуют звук в цифровые сигналы. Частота такого звука ниже 20 кГц — это предел того, что может слышать человек. 

У микрофонов есть мембрана, когда на неё воздействуют звуковые волны, мембрана вибрирует. С помощью вибрации звук преобразуется в цифровой сигнал. 

Считается, что такие мембраны не особенно чувствительны к ультразвуковым частотам, но их можно обмануть и сделать так, чтобы они улавливали ультразвуковые сигналы, неслышимые человеку. 

Организовать такую хакерскую атаку стоит несколько долларов. Чтобы получить доступ к чужому устройству, понадобятся лишь смартфон, усилитель и ультразвуковой преобразователь.

К таким выводам пришли исследователи из Чжэцзянского университета (Китай). Они назвали метод DolphinAttack. 

Учёные протестировали ультразвуковую атаку на нескольких системах распознавания речи, среди них Сири, ассистент Гугл, Кортана, Алекса и даже навигационная система автомобиля Ауди. Все они оказались уязвимы к DolphinAttack.

Тесты проводили на частоте от 25 до 39 кГц. На достаточно близком расстоянии — 1,8 метра до устройства — DolphinAttack стабильно срабатывала. 

Сделай погромче: как распространяется вирус

Эту тему изучали и в другом университете — Колорадо-Спрингс (UCCS) в США. Исследователи разработали вирусную программу Near-Ultrasound Inaudible Trojan (NUIT) и выяснили, что распространение трояна с помощью социальной инженерии очень даже работает. 

Люди смотрят на Ютубе видео, в которое встроен NUIT, и не слышат вредоносных команд, а они тем временем идут в атаку на устройства с голосовыми помощниками — колонки, телевизоры и телефоны. По словам исследователей, такое возможно даже во время совещаний в Зуме. 

Но голосовой помощник всегда отвечает на команды пользователя — возразите вы. Да, но нет. Получив доступ к устройству, NUIT уменьшает его громкость, таким образом ответ на вредоносную команду вы просто не услышите.

Источник: https://www.utsa.edu/today/2023/03/story/chen-nuit-research.html 

Как защититься от ультразвуковой атаки

Даже если голосовой помощник идентифицирует голос владельца и выполняет только его команды, это не гарантирует безопасность. Запись голоса можно украсть или имитировать с помощью дипфейка. Если голосовой помощник восприимчив к любому голосу, это ещё хуже. Но решения есть: аппаратные, программные и простые человеческие.

Исследователи из Чжэцзянского университета предлагают два способа: 

  • Разрабатывать голосовые интерфейсы устойчивыми к DolphinAttack ещё на этапе проектирования. 

  • Изменить конструкцию микрофонов, чтобы уменьшить их чувствительность к ультразвуковым волнам. 

Последнее, правда, не поможет тем людям, которые давно купили себе смартфон, умную колонку или автомобиль. Но для них есть рекомендации учёных из Колорадо:

  • осторожно открывать ссылки, 

  • не предоставлять всем сервисам подряд доступ к микрофону устройства, 

  • использовать наушники вместо динамика. 

Пока устройства с голосовыми интерфейсами остаются чувствительными к скрытым командам, эти рекомендации помогут уменьшить вероятность ультразвуковой атаки. 

Больше о голосовых интерфейсах и умных устройствах — в телеграм-канале Hey Voice.

Теги:
Хабы:
Всего голосов 1: ↑1 и ↓0+1
Комментарии5

Другие новости

Истории

Работа

Ближайшие события

4 – 5 апреля
Геймтон «DatsCity»
Онлайн
8 апреля
Конференция TEAMLY WORK MANAGEMENT 2025
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань
20 – 22 июня
Летняя айти-тусовка Summer Merge
Ульяновская область