Группа исследователей из Токийского университета электрокоммуникаций и Университета Мичигана обнаружила, что ряд гаджетов, поддерживающих голосовое управление, имеет в себе уязвимость — если навести на них лазерную указку, то они воспринимают свет как звуковую команду, сообщает Business Insider.
Команда ученых выяснила, что микрофоны некоторых популярных «умных» колонок и смартфонов интепретируют яркий свет от лазера как звук.
Используя эту уязвимость, злоумышленники могут на небольшом расстоянии отдавать собственные команды голосовым помощникам с помощью света, которые будут считать, что имеют дело с обычной голосовой командой.
В список устройств, которых можно обмануть таким образом, вошли колонки Google Home, Amazon Echo, Apple HomePod и Portal, которые управляются с помощью голосовых ассистентов Assistant, Alexa и Siri. Этой уязвимости подвержены и некоторые смартфоны, например, iPhone XR, Samsung Galaxy S9 и Google Pixel 2.
Отмечается, что смартфоны имеют более совершенный уровень защиты перед такими атаками, так как им требуется дополнительная аутентификация пользователя или кодовое слово, от которого гаджет «просыпается». Злоумышленникам придется сначала «разбудить» смартфон, а уже потом воспользоваться лазерной указкой, чтобы взломать голосового ассистента.
Однако, большинство «умных» колонок, с помощью которых управляются «умные» дома не имеют дополнительного уровня идентификации владельца, поэтому они находятся в зоне риска.
Сообщается, что с помощью взломанного голосового помощника, готового воспринимать команды, можно открыть входную дверь или дверь гаража, которая запирается «умным» устройством, совершить покупку в интернете за чужой счет и даже получить доступ к автомобилю Tesla, если он сопряжен с пользовательским аккаунтом в Google.
Для того, чтобы осуществить такую атаку, понадобится не так уж много средств — лазерная указка стоит около $15. Однако, для усиления эффекта злоумышленнику понадобится усилитель звука (около $28) и устройство, называемое драйвером лазера, чтобы усилить мощность луча ($339). В итоге стоимость всей атаки не превысит $400, что является приличной суммой для простых обывателей, но не для профессиональных хакеров, стоимость инструментов которых зачастую в разы превышает цену такого «набора».
Исследователи заявили, что не обладают доказательствами того, что похожие атаки были когда-либо претворены в жизнь, но решили уведомить производителей протестированных устройств. В Google и Amazon заинтересовались экспериментом и пообещали изучить отчет, чтобы улучшить уровень безопасности своих устройств. В Apple от комментариев отказались.
Действительно, если навести лазер на микрофон и изменять его интенсивность до определенной частоты, свет каким-то образом будет создавать волну и воздействовать на мембрану микрофона. В результате, микрофон превращает входящий свет в цифровой сигнал, и может настроить лазер на частоту человеческого голоса для выполнения команд, подтвердил «Газете.Ru» исследователь IoT-угроз в компании Avast Марко Жбирка.
«Похоже, что этот эксперимент можно повторить. Но дешевым он не будет — обойдется примерно в 400 долларов и потребует использования нескольких инструментов. Принимая во внимание количество усилий и то, что злоумышленникам будет нужно близко находиться к устройству жертвы, маловероятно, что киберпреступники будут проводить подобные атаки массово», — считает Жбирка.
Однако, осторожность никому не мешает, поэтому эксперт порекомендовал хозяевам «умных» домов самим позаботиться о защите своих устройств, а особенно тех, которые позволяют открывать дверные замки с помощью голосовых команд.
«Пользователи могут перемещать свои «умные» колонки вне зоны прямой видимости снаружи, изменять приветственные слова для устройства и настраивать их так, чтобы для некоторых команд требовался пин-код. Кроме того, они могут отключить звук при выходе из дома, а также закрыть шторы на окнах», — пояснил собеседник «Газеты.Ru».