A San Antonio-i Texasi Egyetem és a Colorado Springs-i Colorado Egyetem kutatói egy riasztó új kibertámadást fedeztek fel, amely az intelligens hangszórókat, okostelefonokat, táblagépeket és egyebeket célozhatja meg, anélkül, hogy tudná.
A támadás egy nem hallható felszólításból áll, amelyet a hangfelismerő technológia képes kihasználni egy biztonsági rést kihasználni, és rosszindulatú tevékenységet folytatni, például rosszindulatú programok letöltését.
Szerencsére a sérülékenységre a kutatók (új lapon nyílik meg) a valódi kiberbűnözők helyett, de ha a Big Tech nem cselekszik gyorsan, megteheti soon hatalmas léptékű globális kibertámadássá terjedt át.
Hallhatatlan intelligens hangszóró kibertámadás
A támadást, amelynek két változata létezik, „Near-Ultrasound Inaudiible Trojan”-nak (NUIT) nevezték el, és ahogy a neve is sugallja, közel ultrahanghullámokat használ kibertámadások végrehajtására.
A NUIT-1 egyetlen eszközre támaszkodik a parancs továbbítására és fogadására, míg a NUIT-2 azt látja, hogy egy eszköz továbbítja az üzenetet, és a közelben lévő többi IoT fogadja.
Míg az emberi fül nem képes érzékelni a közeli ultrahanghullámokat, az intelligens hangszórók és a hangasszisztensek igen. Mint ilyen, gyakorlatilag nulla a kitettség kockázata, ami megnehezíti annak észlelését, hogy eszközeinket célozzák-e.
A kutatók leírják, hogy egy rövid, nem hallható, 0.77 másodperces parancsot hogyan lehet beágyazni tetszőleges számú legitim médiába, például YouTube-videókba vagy akár Zoom-hívásokba.
A kutatók által tesztelt 17 népszerű eszköz közül a Siri készülékek bizonyultak a legbiztonságosabbnak az olyan kiegészítő hanghitelesítési intézkedésekkel, amelyek megakadályozzák, hogy más hangok hozzáférjenek az érzékeny adatokhoz, mint például az intelligens otthoni biztonsági rendszerek és az intelligens ajtózárak.
További információk várhatóan az augusztusi USENIX Security Symposium 2023 rendezvényen fognak megjelenni, addig azonban TechRadar Pro megkereste az Apple-t, a Google-t és az Amazont, hogy megtudja, mit tehetnek a sérülékenység orvoslása érdekében.