آلکسا و سیری در برابر دستورات فراصوتی آسیبپذیر هستند
معمولا اکثر هکها بر اثر اشتباهات سادهی کاربران رخ میدهند؛ اما در صورتی که یک آسیبپذیری جدید کشف شود، شما میتوانید کمپانیهای فناوری را مقصر بدانید. محققان دانشگاه ژجیانگ چین روشی یافتهاند که با بهره گرفتن از آن میتوان با ارسال صدا با فرکانس فراصوت، به دستیارهای شخصی سیری اپل و آمازون آلکسا نفوذ کرد. این امواج توسط گوش انسان قابل شنیدن نیست؛ اما در عین حال میکروفون گوشیهای هوشمند و دستگاههای دیگر میتواند بهخوبی صدای فراصوت را دریافت کند. محققان با استفاده از این تکنیک موفق شدهاند دستیارهای مبتنی بر هوش مصنوعی را به باز کردن یک وبسایت آلوده مجبور کنند. لازم به ذکر است که با این روش حتی امکان باز کردن قفلهای هوشمند خانگی متصل به این دستیارهای شخصی وجود دارد.
این روش بسیار ساده، حملهی دلفین نامیده شده است. در تکنیک مورد اشاره، متخصصان ابتدا صدای انسان را به فرکانسهای فراصوت (بالای ۲۰۰۰۰ هرتز) تبدیل میکنند. سپس این صدا از طریق یک گوشی هوشمند معمولی که به یک آمپلیفایر، فرستندهی فراصوت و باتری مجهز شده است، پخش خواهد شد. شایان ذکر است که این قطعات اضافه فقط ۳ دلار برای شما هزینه خواهند داشت.
نکتهای که در مورد این روش بسیار اهمیت دارد این است که میتوان از آن تقریبا روی همهی دستیارهای شخصی از جمله سیری، گوگل اسیستنت، سامسونگ اس-وویس و آلکسا و در دستگاههایی مثل گوشیهای هوشمند، آیپدها، مکبوکها، آمازون اکو و حتی آئودی Q3 استفاده کرد. نکتهی مهم اینکه میتوان ۱۶ دستور صوتی که توسط انسان قایل شنیدن نیست، با سیستمهای تشخیص صدا تفسیر کرد. بدین منظور کافی است که دستورات مورد اشاره پخش شوند و حتی اگر هکر به دستگاه مقصد دسترسی نداشته و دارندهی دستگاه نیز اقدامات لازم امنیتی را در نظر گرفته باشد، این تکنیک بهخوبی کار خواهد کرد.
گروه امنیتی مورد بحث دستوراتی مثل Call 123-556-7890 یا Open Dolphinattack.com یا Open the back door را با موفقیت تست کرده است. بدین ترتیب دادههای اهداف این نوع حملات در معرض خطر قرار خواهد داشت. محققان حتی موفق شدهاند با بهره گرفتن از تکنیک مورد بحث، تغییراتی در ناوبری آئودی Q3 اعمال کنند.
البته یک خبر خوب در این زمینه وجود دارد: در حال حاضر این روش فقط روی دستگاههایی عمل میکند که در فاصلهی ۵ تا ۶ فوتی (حدودا ۱.۵ متر تا ۱.۸ متر) فرستندهی صدای فراصوت قرار داشته باشند، در نتیجه محدودیتی در اجرای این روش وجود دارد مگر اینکه محققان بتوانند قدرت امواج یادشده را افزایش دهند. برای استفاده از این روش، دستیار شخصی شما باید در حالت فعال قرار داشته باشد و بهخصوص در شرایطی که بتوان با دستورات فراصوت، دستیارهای گوگل اسیستنت و سیری را فعال کرد، این دو سیستم با ارائهی پاسخ برای هر یک از دستورات صوتی، یک صدا نیز پخش خواهند کرد و کاربر متوجه این موضوع خواهد شد.
اگرچه این روش هک بهخوبی کار میکند؛ اما همانطور که اشاره شد، اطلاعات شما تنها در شرایطی در معرض خطر قرار خواهد گرفت که دستیار صوتی خود را در حالت فعال قرار داده باشید و همچنین به اعلانات و هشدارهای دستیار شخصیتان توجه نکنید؛ مسلما احتمال به وجود آمدن این سناریو برای بسیاری از کاربران خیلی کم است. درهرحال در مکانهای عمومی و در حالتی که قفل گوشی شما باز بوده و یک هکر در آن نزدیکی قرار داشته باشد، احتمال سرقت اطلاعات شما در این شرایط وجود دارد.
تولیدکنندگان دستگاهها میتوانند با برنامهنویسی بهسادگی جلوی مشکل یادشده را بگیرند؛ بدین ترتیب که دستورات صوتی با فرکانس بالای ۲۰ هزار هرتز توسط دستگاه شناسایی نشوند. در هر حال تیم امنیتی مورد اشاره به این موضوع پی برده است که تمامی دستگاههای مبتنی بر دستیارهای هوشمند، دستورات فراصوتی را بدون هیچ مشکلی قبول میکنند. یکی از طراحان صنعتی در گفتگو با فستکو گفت: «اینکه چرا میکروفونها از چنین فرکانسهایی (تا ۴۲۰۰۰ هرتز) پشتیبانی میکنند به امتیاز میزان درک این محصولات از صدای محیط مربوط میشود؛ بهعنوان مثال کرومکست از امواج فراصوت برای مرتبط شدن با دستگاههای دیگر بهره میبرد.»
در حال حاضر محققان به کمپانیهای تولیدکنندگان پیشنهاد دادهاند که با اعمال اصلاحات روی میکروفونهای خود، مانع ثبت سیگنالهای بالای ۲۰ هزار هرتز شوند، یا بهسادگی تمامی دستوراتی را که در محدودهی شنوایی انسان نیست، لغو کنند.
نظر شما در این مورد چیست؟
نظرات