Алекса, Google Assistant и Siri уязвимы к лазерным атакам

Группа исследователей обнаружила уязвимость безопасности, которая позволяет хакерам взламывать умные колонки, направляя на их микрофоны специально подготовленный лазерный луч и вводя голосовые команды.

Интересно, что та же уязвимость может быть использована для компрометации любого компьютера, который включает микрофон, а также смартфонов и планшетов.

Исследование было проведено учеными из Университета электроника и связи в Токио и Университета Мичигана. Уязвимость была подробно описана в новой статье под названием «Световые команды: лазерные атаки на системы с голосовым управлением».

Уязвимость, названная «Световые команды», в основном использует лазеры для манипуляции умными колонками с помощью поддельных команд. Она также может быть использована для взлома других систем, которые подключены через умную колонку, таких как защищенные умным замком входные двери, подключенные гаражные двери, онлайн-шопинг, нахождение и удаленный запуск некоторых транспортных средств и многое другое.

«Световые команды — это уязвимость микрофонов MEMS, которая позволяет злоумышленникам удаленно вводить не слышимые и невидимые команды в голосовых помощников, таких как Google Assistant, Amazon Alexa, Facebook Portal и Apple Siri, используя свет», — написали исследователи. «В нашей статье мы демонстрируем этот эффект, успешно используя свет для ввода вредоносных команд в несколько устройств с голосовым управлением, таких как умные колонки, планшеты и телефоны на больших расстояниях и через стеклянные окна.»

Микрофоны MEMS (микроэлектромеханическая система) в некоторых из самых популярных умных колонок и смартфонов настолько чувствительны, что интерпретируют яркий свет лазера как звук.

Исследователи смогли обмануть Siri и других AI-помощников с расстояния до 360 футов (110 метров), просто сфокусировав лазерный свет, и даже управлять устройством в одном здании с колокольни на расстоянии 230 футов (70 метров), направляя свет через окно.

Кроме умных колонок, некоторые из других протестированных устройств включали Amazon Echo, Apple HomePod, iPhone XR, Google Pixel 2, Samsung Galaxy S9, Facebook Portal Mini и др.

«Микрофоны преобразуют звук в электрические сигналы. Основное открытие, стоящее за световыми командами, заключается в том, что помимо звука микрофоны также реагируют на свет, направленный прямо на них», — написали исследователи.

«Таким образом, модулируя электрический сигнал в интенсивности светового луча, злоумышленники могут обмануть микрофоны, заставив их производить электрические сигналы, как будто они получают подлинный аудиосигнал.»

Google, который осведомлен о проведенном исследовании, подтвердил, что он «внимательно изучает эту научную работу». Компания добавила: «Защита наших пользователей является первоочередной задачей, и мы всегда ищем способы улучшить безопасность наших устройств.»

Хотя уязвимость определенно звучит тревожно, это не простая уязвимость для эксплуатации. Она требует довольно сложной настройки, лазерной указки, лазерного драйвера, звукового усилителя, телеобъектива и многого другого.

Тем не менее, вы можете предпринять некоторые простые профилактические меры, чтобы избежать таких атак, отключая свои устройства, когда они не используются, держите свои устройства вне поля зрения от лазерного луча и устанавливая меры безопасности, такие как PIN-коды и другие требования аутентификации пользователей на ваших устройствах, когда это возможно.