Forskere hacket Siri, Alexa og Google Home ved å skinne lasere på dem

Den mest interessante utviklingen innen mobilteknologi er bruken av en personlig assistent. Googles Home, Amazons Alexa og Apples Siri forenkler alle arbeidet vårt med kun en talekommando. Ut av alle de gode tingene den kan gjøre, er det vanskelig å forestille seg at disse personlige stemmeassistentene er sårbare for hackere.

En fersk teknisk rapport har avslørt at hackere og angripere sikter mot disse digitale stemmeassistentene gjennom laserstråler. De injiserer uhørlige og usynlige kommandoer i enheten som i hemmelighet tar handling på ondsinnede kommandoer som å åpne døren, starte kjøretøy, fjerne blokkering av konfidensielle nettsteder, etc.

Ved å kaste laser med lav effekt laserstråler på det stemmeaktiverte systemet, kan angripere lett bryte seg inn fra en avstand på omtrent 360 fot. Dette kan være mulig fordi det ikke er noen brukerautentiseringsmekanisme innebygd i systemene. Så de blir et enkelt mål for hackere. Selv om det skulle være noe autentiseringssystem, vil det ikke være så farlig for angripere å knekke PIN-koden eller passordet, fordi det er et tak på antall forsøk eller gjetninger brukere kan prøve.

Bortsett fra den eksisterende sårbarheten i de digitale stemmeassistentene, kan det lysbaserte hacket injiseres selv fra en bygning til en annen. Denne inntrengingsteknikken kan også brukes til å utnytte sårbarheten som finnes i mikrofoner. Mikrofoner bruker Micro Electro Mechanical Systems (MEMS).

Disse MEMS-ene reagerer på lys akkurat som på lyd. Selv om emnet som undersøkes er Google Home, Sri og Alexa, kan det trygt konkluderes med at alle telefoner, nettbrett og andre enheter som fungerer etter MEMS-prinsippet kan være utsatt for slike lette kommandoangrep.

Les –Hackere som bruker WAV-lydfiler for å injisere skadelig programvare og kryptominere

Foruten styrken ved å utnytte sårbarheten, er det også noen begrensninger ved å angripe gjennom den lysbaserte teknikken. Si at angriperen må ha en direkte siktlinje. I de fleste tilfellene vil angrepet være vellykket bare når lyset faller på en bestemt del av mikrofonen.

Men når det gjelder infrarødt laserlys, kan det også oppdage enhetene i nærheten. Forskningen har presentert at lysbaserte angrep reagerer på talekommandoer langs den tyder også på at det kan fungere godt i semi-realistiske miljøer. I fremtiden forventer tekniske eksperter at disse angrepene kommer til å bli mer alvorlige.

Vi finner at VC-systemer ofte mangler brukerautentiseringsmekanismer, eller hvis mekanismene er tilstede, er de feil implementert (f.eks. muliggjør PIN-brute-forcing).

Vi viser hvordan en angriper kan bruke lysinjiserte stemmekommandoer for å låse opp målets smartlås-beskyttede inngangsdør, åpne garasjeporter, handle på e-handelsnettsteder for målets regning, eller til og med finne, låse opp og starte forskjellige kjøretøyer (f.eks. Tesla og Ford) hvis kjøretøyene er koblet til målets Google-konto.» – som skrevet i forskningsrapporten med tittelen «Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems. ”