Używasz asystenta? Można go oszukać w niecałą sekundę
Mikrofony wykorzystywane przez urządzenia do obsługi asystentów głosowych są podatne na atak NUIT. Badacze bezpieczeństwa ostrzegają, że wystarczy 0,77 sekundy, by przejąć kontrolę nad asystentem i w imieniu użytkownika na przykład otworzyć drzwi z inteligentnym zamkiem.
Badacze bezpieczeństwa zwracają uwagę, że popularni asystenci głosowi z Asystentem Google oraz Siri na czele są furtkami do ataków, o których typowy użytkownik może nawet nie pomyśleć. Najnowszym zagrożeniem okazuje się być Near-Ultrasound Inaudible Trojan, czyli sytuacja, w której atakujący wykorzystuje spreparowane sygnały z głośnika (zbliżone do ultradźwięków) w pobliżu urządzenia ofiary, co może prowadzić do przejęcia kontroli nad asystentem głosowym i dalszych konsekwencji.
Skutki mogą być poważne. O ile do ataku potrzebna fizyczna jest bliskość urządzenia ofiary oraz sprzęt z głośnikiem zdolnym wygenerować niezbędne sygnały, może to prowadzić do zmuszenia asystenta głosowego w telefonie ofiary na przykład do wyłączenia alarmu w domu lub otwarcia smart-zamka, o ile oczywiście wcześniej został skonfigurowany do obsługiwania takich urządzeń głosowo.
Dalsza część artykułu pod materiałem wideo
"Aby NUIT zadziałał wystarczy, że głośnik, z którego jest uruchamiany, będzie ustawiony powyżej pewnego poziomu głośności, a komenda będzie trwać nie dłużej niż 0,77 sekundy" - ostrzegają eksperci. Atak jest niebezpieczny również dlatego, że sygnały wysyłane przez głośnik pozostają w praktyce niesłyszalne dla ludzi. Trudno więc zorientować się, że urządzenie zostało zaatakowane.
Ataki na asystentów głosowych to zupełnie nowy rodzaj zagrożenia, na który użytkownicy nie są przygotowani. O ile wiele osób wie już, że nie należy klikać w linki czy pobierać aplikacji nieznanego pochodzenia, nikt z nas nie martwi się, że słuchając muzyki czy oglądając film z potwierdzonego źródła zostaniemy zaatakowani… dźwiękiem. I to takim, którego nie jesteśmy w stanie usłyszeć. Ataki typu NUIT poszerzają również potencjalne pole działania przestępców. Włamując się do asystenta głosowanego można nie tylko dokonywać przestępstw w internecie, ale również w realnym świecie np. uzyskiwać dostęp do mieszkania czy garażu. Nietypowe ataki wymagają od nas nietypowej obrony. Ciekawostką jest, że jedną z metod obrony przed takim atakiem, mogą być słuchawki. Kiedy odtwarzamy nagranie z ich wykorzystaniem, dźwięk nie dociera do mikrofonu naszego urządzenia.
Beniamin Szczepankiewicz
Starszy specjalista ds. cyberbezpieczeństwa ESET
Atak NUIT - jak się zabezpieczyć?
Aby zwiększyć odporność swojego urządzenia na atak NUIT, specjaliści proponują przede wszystkim skonfigurować asystenta głosowego tak, by reagował wyłącznie na głos właściciela. Co do zasady warto też zastanowić się, czy obsługiwane głosowo urządzeń związanych z bezpieczeństwem domu czy mieszkania jest niezbędne.
"Warto również, od czasu do czasu sprawdzać telefon pod kątem przypadkowych aktywacji mikrofonu. Zarówno urządzenia z Androidem, jak i iOS wyświetlają aktywację mikrofonu, zwykle sygnalizując ją zieloną kropką na Androidzie i brązową kropką na iOS w górnej części ekranu" - przypominają specjaliści.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl