Atak „na delfina”: ultradźwiękami można hackować Siri, Cortanę i inne

Asystenty głosowe, jak każde oprogramowanie, nie są odporne na ataki. Siri, Alexę i Google Now można przekonać do wykonania poleceń „za plecami” właściciela urządzenia, nawet jeśli jest on tuż obok. Wystarczy emitować dźwięki niesłyszalne dla ludzkiego ucha, ale odbierane przez mikrofon smartfonu czy tabletu. Szkodliwość ataków tego typu nie jest duża, ale warto wiedzieć o takiej możliwości.

Naukowcy z Uniwersytetu Zhejiang udowodnili, że możliwe jest sterowanie programami reagującymi na polecenie głosowe za pomocą komend ultradźwiękowych. W ten sposób można zmienić zachowanie smartfonu, tabletu, komputera, a nawet samochodu. Na szczęście technika ta ma sporo ograniczeń, więc nie musimy obawiać się, że wszystkie maszyny w promieniu kilkudziesięciu kilometrów „oszaleją” po nadaniu sygnału dźwiękowego.

Eksperyment wykorzystał fakt, że wiele urządzeń, w tym Google Chromecast, emitują niesłyszalne dla nas dźwięki przy parowaniu się ze smartfonami czy telewizorami. Sygnały tego typu są wykorzystywane także do śledzenia zachowań użytkowników. Niedawno pisaliśmy o umieszczaniu w przestrzeni publicznej emiterów w taki sposób, żeby nie słyszeli ich ludzie, ale ich elektronika już tak. W ten sposób centrum handlowe może „sprawdzić”, co kto nosi ze sobą, dokąd chodzi i lepiej dobrać reklamy pod odbiorców. Już wcześniej podejrzewano, że tym sposobem można oszukać asystenty głosowe, ale z Chin pochodzi najlepsze jak dotąd opracowanie tematu.

By przeprowadzić atak, naukowcy nagrali komendy głosowe i dodali składowe harmoniczne, by częstotliwości dźwięków przekraczały 20 kHz, uważane za granicę słyszalności dla ludzkiego ucha. Następnie polecenia zostały odtworzone w obecności 16 asystentów głosowych, w tym Siri, Google Now, Samsung S Voice, Cortany, Alexy i systemów sterowania samochodami. W ten sposób udało się nawiązać połączenie FaceTime z iPhone'a, włączyć tryb samolotowy przez Google Now i manipulować nawigacją w samochodzie Audi.

Co ciekawe, przy odrobinie starań można skutecznie wydawać polecenia także asystentom reagującym tylko na głos właściciela urządzenia. Nie jest to jednak wielkie wyzwanie – Siri miała taką możliwość przez jakiś czas, ale mechanizm ten był zbyt zawodny. Niemniej jednak, nagrywając dłuższe wypowiedzi celu ataku, można spokojnie zebrać sylaby lub całe słowa, niezbędne do ułożenia różnych poleceń. Pamiętacie „Mission Impossible?”

Atak został nazwany „Delfin”, co nawiązuje do wykorzystywanej między innymi przez ssaki morskie echolokalizacji. Można go wykorzystać między innymi do przejścia na złośliwą stronę i pobrania wirusa albo nawiązania połączenia, by śledzić ofiarę ataku. Poza tym można komuś zrobić psikusa i zmienić cel ustawiony w nawigacji, ale szkodliwość tego akurat czynu nie wydaje się duża. Ponadto, by nadać polecenia, trzeba znajdować się blisko urządzenia i w okolicy musi być dość cicho. Atak na Siri był skuteczny w biurze, w kawiarni działał w 80%, na ulicy tylko w 30%. Potrzebny jest też nieco lepszy sprzęt, zdolny przenosić częstotliwości powyżej 20 kHz. Ogólnodostępne głośniki zwykle nie przekraczają tej granicy, gdyż ludzie i tak nie słyszą tak wysokich dźwięków.

Trzeba ponadto dopasować się do charakterystyki konkretnego urządzenia, co dodatkowo komplikuje atak, a przy tym pamiętać, że asystenty zwykle odpowiadają na polecenia i często wymagają, by telefon był odblokowany. Prawdopodobnie nie da się przeprowadzić go na większą skalę. Zabezpieczenie wydaje się być proste – wystarczy że asystent nie będzie reagować na polecenia spoza zakresu częstotliwości ludzkiej mowy.