Лазеры могут взломать голосовых помощников в некоторых смартфонах и умных колонках (по данным исследованию исследователей из Мичиганского университета и Университета электросвязи в Токио). Микрофоны таких устройств интерпретируют свет как голосовые команды, оставляя их уязвимыми при определенных обстоятельствах для вредоносных атак.
Лазеры могут взломать голосовой помощник, вызывая вибрацию датчиков в микрофонах микроэлектромеханических систем (MEMS), используемых в Apple HomePod, Google Home, Amazon Echo, Apple iPhone и других устройствах. Маломощная лазерная указка, модулируемая лазерным драйвером и аудиоусилителем, светит на микрофон, и даже с нескольких десятков метров микрофон интерпретирует этот свет, как звук команды. Отсутствие PIN-кода, необходимого для аутентификации большинства команд, исключает необходимость обхода любой дополнительной системы безопасности.
Аппарат для взлома голосовых ассистентов стоил меньше 400 долларов.
Все, что нужно для взлома, — это умная колонка в пределах видимости. Исследователи изучили множество потенциальных команд, которые можно передать через лазерную атаку, чтобы обмануть голосового помощника.
Аутентификация пользователя на этих устройствах часто отсутствует или не включена, что позволяет злоумышленнику использовать световые голосовые команды для:
- разблокировки входных дверей объекта или открытия гаражных дверей, если они находятся под управлением умной колонки;
- покупки через интернет за счет собственника девайса;
- обнаружения, разблокировки и запуска различных транспортных средств (например, Tesla и Ford), которые подключены к учетной записи Google объекта.
Представители Amazon и Google изучают данную уязвимость для ее устранения.
Как защитить свое устройство?
Но устройства от этого типа уязвимости можно защитить довольно простыми действиями:
- Добавить голосовой PIN-код для ключевых команд голосового помощника (открытие дверей и т.п.);
- По возможности принудительно отключать микрофон на устройстве во время бездействия (такая кнопка установлена на большинстве смарт-колонок). При отключенном микрофоне, злоумышленники не смогут передавать команду удаленно;
- Можно настроить уведомления о активных сессиях с голосовым помощником, которые будут отображаться на вашем телефоне. Начало сессии во время вашего отсутствия может быть сигналом о несанкционированном использовании устройства.
Это исследование очень интересно, хотя бы тем, что выявлен новый тип уязвимости умных колонок и смартфонов, исследователи работают с компаниями, стоящими за устройствами, чтобы разработать контрмеры. Атаки с использованием света могут стать более реальными в будущем, поскольку голосовые технологии становятся более сложными и все более популярными, поэтому логично развивать защиту сейчас.
