Хакеры могут захватить Siri и Google Assistant с помощью ультразвуковых волн

Группа исследователей в области безопасности обнаружила новый метод взлома голосовых помощников смартфонов, включая Siri и Google, отправляя голосовые команды через ультразвуковые волны.

Названная SurfingAttack, эта атака позволяет хакеру управлять Siri от Apple и Google Assistant, отправляя неслышимые вибрации через стол с расстояния 30 футов, не зная владельца телефона.

Исследование было проведено группой ученых из Государственного университета Мичигана, Университета Небраски в Линкольне, Вашингтонского университета в Сент-Луисе и Китайской академии наук.

В своей статье, SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves, исследователи продемонстрировали, как голосовые помощники смартфонов могут быть использованы через твердые объекты, такие как металлические, стеклянные или деревянные столы, с помощью ультразвуковых волн.

По сути, SurfingAttack модулирует голосовую команду на неслышимый частотный диапазон и передает сигналы атаки с помощью стандартного PZT-преобразователя (стоимость $5 за штуку) через различные типы столов из твердых материалов.

Исследователи протестировали свою технику SurfingAttack на 17 моделях от Apple, Google, Samsung, Motorola, Xiaomi и Huawei. Из них 13 моделей работали на Android с Google Assistant, а четыре iPhone имели Siri от Apple.

Исследователи смогли успешно взять под контроль 15 из 17 смартфонов. Однако техника оказалась неэффективной против Huawei Mate 9 и Samsung Galaxy Note 10+, так как строительный материал этих телефонов «поглощал ультразвуковые волны».

Им удалось успешно активировать голосовых помощников, командовать им разблокировать устройства, перехватывать коды двухфакторной аутентификации SMS, делать повторные селфи и даже заставлять их совершать мошеннические звонки.

Чтобы скрыть атаку от жертвы, исследователи уменьшили громкость скрытого микрофона, чтобы сделать голосовые ответы незаметными.

«Используя уникальные свойства акустической передачи в твердых материалах, мы разработали новую атаку под названием SurfingAttack, которая позволит проводить несколько раундов взаимодействия между устройством с голосовым управлением и атакующим на большем расстоянии», - сказали исследователи на своем сайте.

«SurfingAttack позволяет создавать новые сценарии атак, такие как перехват мобильного кода доступа SMS, совершение призрачных мошеннических звонков без ведома владельцев и т.д.»

«Мы хотим повысить осведомленность о такой угрозе», - сказал Нинг Чжан, доцент кафедры компьютерных наук и инженерии в Сент-Луисе. «Я хочу, чтобы все в обществе знали об этом».

Исследователи предлагают следующие меры для защиты от SurfingAttack:

• Следите за своими устройствами, расположенными на столах.
• Уменьшите площадь соприкосновения ваших телефонов со столом.
• Поместите устройство на мягкую ткань перед тем, как ставить его на стол.
• Используйте более толстые чехлы для телефонов из необычных материалов, таких как дерево.
• Отключите личные результаты на экране блокировки (или разблокируйте с помощью голосового совпадения) на Android.
• Отключите своего голосового помощника на экране блокировки и блокируйте устройство, когда кладете его.

Результаты были представлены на Симпозиуме по безопасности сетей и распределенных систем в Сан-Диего, Калифорния, 24 февраля, а также впоследствии опубликованы в сводке на сайте университета.