해커가 초음파를 사용하여 Siri 및 Google Assistant를 탈취할 수 있다

한 그룹의 보안 연구자들이 Siri와 Google에서 사용하는 스마트폰 음성 비서 해킹을 위한 새로운 방법을 발견했습니다. 이 방법은 초음파를 통해 음성 명령을 전송하는 것입니다.

SurfingAttack이라는 이름으로 불리는 이 공격은 해커가 30피트 떨어진 테이블을 통해 들리지 않는 진동을 보내 Apple의 Siri와 Google Assistant를 제어할 수 있게 합니다. 이 과정은 전화 소유자의 지식 없이 이루어집니다.

이 연구는 미시간 주립대학교, 네브래스카-링컨 대학교, 세인트루이스 워싱턴 대학교 및 중국 과학 아카데미의 학자들로 구성된 그룹에 의해 수행되었습니다.

그들의 논문인 SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves에서 연구자들은 스마트폰 음성 비서가 금속, 유리 또는 나무 테이블과 같은 고체 물체를 통해 어떻게 악용될 수 있는지를 보여주었습니다.

기본적으로 SurfingAttack은 음성 명령을 들리지 않는 주파수 대역으로 변조하고, 다양한 고체 재질로 만들어진 테이블을 통해 시중에서 구입할 수 있는 PZT 변환기(개당 $5)를 사용하여 공격 신호를 전송합니다.

연구자들은 Apple, Google, Samsung, Motorola, Xiaomi 및 Huawei의 17개 모델에서 SurfingAttack 기술을 테스트했습니다. 이 중 13개 모델은 Google Assistant가 실행되는 Android를 사용하고, 4개의 iPhone은 Apple의 Siri를 사용하고 있었습니다.

연구자들은 17개의 스마트폰 중 15개를 성공적으로 제어할 수 있었습니다. 그러나 이 기술은 Huawei의 Mate 9와 Samsung의 Galaxy Note 10+에 대해서는 효과적이지 않았습니다. 이 전화기의 구조 재료가 “초음파를 감쇠시켰기” 때문입니다.

그들은 음성 비서를 성공적으로 활성화하고, 장치를 잠금 해제하도록 명령하고, SMS 이중 인증 코드를 탈취하고, 반복적으로 셀카를 찍고, 심지어 사기 전화를 걸도록 만들 수 있었습니다.

희생자로부터 공격을 숨기기 위해 연구자들은 숨겨진 마이크의 볼륨을 줄여 음성 응답이 눈에 띄지 않도록 했습니다.

“고체 재료에서의 음향 전송의 독특한 특성을 활용하여, 우리는 SurfingAttack이라는 새로운 공격을 설계하여 음성 제어 장치와 공격자 간의 여러 차례의 상호작용을 더 긴 거리에서 가능하게 합니다.”라고 연구자들은 그들의 웹사이트에서 말했습니다.

“SurfingAttack은 모바일 단문 메시지(SMS) 비밀번호를 탈취하거나, 소유자의 지식 없이 유령 사기 전화를 거는 등의 새로운 공격 시나리오를 가능하게 합니다.”

“우리는 이러한 위협에 대한 인식을 높이고 싶습니다.”라고 세인트루이스의 컴퓨터 과학 및 공학 조교수인 Ning Zhang이 말했습니다. “모든 대중이 이를 알기를 바랍니다.”

연구자들은 SurfingAttack으로부터 자신을 방어하기 위한 다음과 같은 조치를 제안합니다:

• 테이블 위에 놓인 장치를 주의 깊게 살펴보세요.
• 전화기와 테이블의 접촉 면적을 줄이세요.
• 테이블에 닿기 전에 장치를 부드러운 직물 위에 놓으세요.
• 나무와 같은 드문 재료로 만들어진 두꺼운 전화 케이스를 사용하세요.
• Android에서 잠금 화면 개인 결과를 끄거나 음성 일치로 잠금을 해제하세요.
• 잠금 화면에서 음성 비서를 비활성화하고, 장치를 내려놓을 때 잠금 상태로 두세요.

결과는 2월 24일 캘리포니아 샌디에이고에서 열린 네트워크 및 분산 시스템 보안 심포지엄에서 발표되었으며, 이후 대학 웹사이트에 요약이 게시되었습니다.