Des chercheurs de l'Université du Texas à San Antonio et de l'Université du Colorado à Colorado Springs ont découvert une nouvelle cyberattaque alarmante qui peut cibler vos haut-parleurs intelligents, smartphones, tablettes et plus encore, sans même que vous le sachiez.
L'attaque consiste en une invite inaudible qui peut être captée par la technologie de reconnaissance vocale pour exploiter une vulnérabilité et procéder à une activité malveillante, comme le téléchargement de logiciels malveillants.
Heureusement, la vulnérabilité a été mise en évidence par chercheurs (s'ouvre dans un nouvel onglet) plutôt que de véritables cybercriminels, mais à moins que Big Tech n'agisse rapidement, il peut soon se propager dans une cyberattaque mondiale à grande échelle.
Cyberattaque inaudible des haut-parleurs intelligents
L'attaque, dont il existe deux variantes, a été surnommée "Near-Ultrasound Inaudible Trojan" (NUIT) et, comme son nom l'indique, elle utilise des ondes proches des ultrasons pour mener une cyberattaque.
NUIT-1 s'appuie sur un seul appareil pour transmettre et recevoir la commande, tandis que NUIT-2 voit un appareil transmettre le message et tout autre IoT à proximité le recevoir.
Alors que l'oreille humaine ne peut pas détecter les ondes proches des ultrasons, les haut-parleurs intelligents et les assistants vocaux le peuvent. En tant que tel, il n'y a pratiquement aucun risque d'exposition, ce qui rend plus difficile de détecter si nos appareils sont ciblés.
Les chercheurs décrivent comment une courte commande inaudible, qui mesure 0.77 seconde, peut être intégrée dans n'importe quel nombre de médias légitimes comme des vidéos YouTube et même des appels Zoom.
Sur les 17 appareils populaires testés par les chercheurs, les appareils Siri se sont avérés les plus sécurisés avec des mesures d'authentification vocale supplémentaires pour empêcher d'autres voix d'accéder à des données sensibles, comme les systèmes de sécurité domestique intelligents et les serrures de porte intelligentes.
Plus d'informations devraient être révélées lors du USENIX Security Symposium 2023 en août, mais entre-temps Tech Radar Pro a contacté Apple, Google et Amazon pour savoir ce qu'ils pourraient faire pour remédier à la vulnérabilité.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba