Des chercheurs de l'Université du Texas à San Antonio et de l'Université du Colorado à Colorado Springs ont découvert une nouvelle cyberattaque alarmante qui peut cibler vos haut-parleurs intelligents, smartphones, tablettes et plus encore, sans même que vous le sachiez.
L'attaque consiste en une invite inaudible qui peut être captée par la technologie de reconnaissance vocale pour exploiter une vulnérabilité et procéder à une activité malveillante, comme le téléchargement de logiciels malveillants.
Heureusement, la vulnérabilité a été mise en évidence par chercheurs (s'ouvre dans un nouvel onglet) plutôt que de véritables cybercriminels, mais à moins que Big Tech n'agisse rapidement, il peut soon se propager dans une cyberattaque mondiale à grande échelle.
Cyberattaque inaudible des haut-parleurs intelligents
L'attaque, dont il existe deux variantes, a été surnommée "Near-Ultrasound Inaudible Trojan" (NUIT) et, comme son nom l'indique, elle utilise des ondes proches des ultrasons pour mener une cyberattaque.
NUIT-1 s'appuie sur un seul appareil pour transmettre et recevoir la commande, tandis que NUIT-2 voit un appareil transmettre le message et tout autre IoT à proximité le recevoir.
Alors que l'oreille humaine ne peut pas détecter les ondes proches des ultrasons, les haut-parleurs intelligents et les assistants vocaux le peuvent. En tant que tel, il n'y a pratiquement aucun risque d'exposition, ce qui rend plus difficile de détecter si nos appareils sont ciblés.
Les chercheurs décrivent comment une courte commande inaudible, qui mesure 0.77 seconde, peut être intégrée dans n'importe quel nombre de médias légitimes comme des vidéos YouTube et même des appels Zoom.
Sur les 17 appareils populaires testés par les chercheurs, les appareils Siri se sont avérés les plus sécurisés avec des mesures d'authentification vocale supplémentaires pour empêcher d'autres voix d'accéder à des données sensibles, comme les systèmes de sécurité domestique intelligents et les serrures de porte intelligentes.
Plus d'informations devraient être révélées lors du USENIX Security Symposium 2023 en août, mais entre-temps Tech Radar Pro a contacté Apple, Google et Amazon pour savoir ce qu'ils pourraient faire pour remédier à la vulnérabilité.