آلکسا و سیری در برابر دستورات فراصوتی آسیب‌پذیر هستند

معمولا اکثر هک‌ها بر اثر اشتباهات ساده‌ی کاربران رخ می‌دهند؛ اما در صورتی که یک آسیب‌پذیری جدید کشف شود، شما می‌توانید کمپانی‌های فناوری را مقصر بدانید. محققان دانشگاه ژجیانگ چین روشی یافته‌اند که با بهره گرفتن از آن می‌توان با ارسال صدا با فرکانس فراصوت، به دستیار‌های شخصی سیری اپل و آمازون آلکسا نفوذ کرد. این امواج توسط گوش انسان قابل شنیدن نیست؛ اما در عین حال میکروفون گوشی‌های هوشمند و دستگاه‌های دیگر می‌تواند به‌خوبی صدای فراصوت را دریافت کند. محققان با استفاده از این تکنیک موفق شده‌اند دستیارهای مبتنی بر هوش مصنوعی را به باز کردن یک وب‌سایت آلوده مجبور کنند. لازم به ذکر است که با این روش حتی امکان باز کردن قفل‌های هوشمند خانگی متصل به این دستیارهای شخصی وجود دارد.

این روش بسیار ساده، حمله‌ی دلفین نامیده شده است. در تکنیک مورد اشاره، متخصصان ابتدا صدای انسان را به فرکانس‌های فراصوت (بالای ۲۰۰۰۰ هرتز) تبدیل می‌کنند. سپس این صدا از طریق یک گوشی هوشمند معمولی که به یک آمپلی‌فایر، فرستنده‌ی فراصوت و باتری مجهز شده است، پخش خواهد شد. شایان ذکر است که این قطعات اضافه فقط ۳ دلار برای شما هزینه خواهند داشت. 

نکته‌‌ای که در مورد این روش بسیار اهمیت دارد این است که می‌توان از آن تقریبا روی همه‌ی دستیارهای شخصی از جمله سیری، گوگل اسیستنت، سامسونگ اس-وویس و آلکسا و در دستگاه‌هایی مثل گوشی‌های هوشمند، آیپدها، مک‌بوک‌ها، آمازون اکو و حتی آئودی Q3 استفاده کرد. نکته‌ی مهم این‌که می‌توان ۱۶ دستور صوتی که توسط انسان قایل شنیدن نیست، با سیستم‌های تشخیص صدا تفسیر کرد. بدین منظور کافی است که دستورات مورد اشاره پخش شوند و حتی اگر هکر به دستگاه مقصد دسترسی نداشته و دارنده‌ی دستگاه نیز اقدامات لازم امنیتی را در نظر گرفته باشد، این تکنیک به‌خوبی کار خواهد کرد.

گروه امنیتی مورد بحث دستوراتی مثل Call 123-556-7890 یا Open Dolphinattack.com یا Open the back door را با موفقیت تست کرده است. بدین ترتیب داده‌های اهداف این نوع حملات در معرض خطر قرار خواهد داشت. محققان حتی موفق شده‌اند با بهره گرفتن از تکنیک مورد بحث، تغییراتی در ناوبری آئودی Q3 اعمال کنند.

البته یک خبر خوب در این زمینه وجود دارد: در حال‌ حاضر این روش فقط روی دستگاه‌هایی عمل می‌کند که در فاصله‌ی ۵ تا ۶ فوتی (حدودا ۱.۵ متر تا ۱.۸ متر) فرستنده‌ی صدای فراصوت قرار داشته باشند، در نتیجه محدودیتی در اجرای این روش وجود دارد مگر‌ اینکه محققان بتوانند قدرت امواج یادشده را افزایش دهند. برای استفاده از این روش، دستیار شخصی شما باید در حالت فعال قرار داشته باشد و به‌خصوص در شرایطی که بتوان با دستورات فراصوت، دستیارهای گوگل اسیستنت و سیری را فعال کرد، این دو سیستم با ارائه‌ی پاسخ برای هر یک از دستورات صوتی، یک صدا نیز پخش خواهند‌ کرد و کاربر متوجه این موضوع خواهد شد.

اگرچه این روش هک به‌خوبی کار می‌کند؛ اما همان‌طور که اشاره شد، اطلاعات شما تنها در شرایطی در معرض خطر قرار خواهد گرفت که دستیار صوتی خود را در حالت فعال قرار داده باشید و همچنین به اعلانات و هشدارهای دستیار شخصی‌تان توجه نکنید؛ مسلما احتمال به وجود آمدن این سناریو برای بسیاری از کاربران خیلی کم‌ است. درهرحال در مکان‌های عمومی و در حالتی که قفل گوشی‌ شما باز بوده و یک هکر در آن نزدیکی‌ قرار داشته باشد، احتمال سرقت اطلاعات شما در این شرایط وجود دارد.

تولیدکنندگان دستگاه‌ها می‌توانند با برنامه‌نویسی به‌سادگی جلوی مشکل یادشده را بگیرند؛ بدین ترتیب که دستورات صوتی با فرکانس بالای ۲۰ هزار هرتز توسط دستگاه شناسایی نشوند. در هر حال تیم امنیتی مورد اشاره به این موضوع پی برده است که تمامی دستگاه‌های مبتنی بر دستیارهای هوشمند، دستورات فراصوتی را بدون هیچ مشکلی قبول می‌کنند. یکی از طراحان صنعتی در گفتگو با فست‌کو گفت: «اینکه چرا میکروفون‌ها از چنین فرکانس‌هایی (تا ۴۲۰۰۰ هرتز) پشتیبانی می‌کنند به امتیاز میزان درک این محصولات از صدای محیط مربوط می‌شود؛ به‌عنوان مثال کروم‌کست از امواج فراصوت برای مرتبط شدن با دستگاه‌های دیگر بهره می‌برد.»

در حال حاضر محققان به کمپانی‌های تولیدکنندگان پیشنهاد داده‌اند که با اعمال اصلاحات روی میکروفون‌های خود، مانع ثبت سیگنال‌های بالای ۲۰ هزار هرتز شوند، یا به‌سادگی تمامی دستوراتی را که در محدوده‌ی شنوایی انسان نیست، لغو کنند. 

نظر شما در این مورد چیست؟