Američki naučnici razvili su sistem NUIT (Near-Ultrasound Inaudible Trojan).
Reč je o “nečujnom” napadu na uređaje koje pokreću glasovni pomoćnici, kao što su pametni telefoni, pametni zvučnici…
Tim istraživača sa Univerziteta Teksas i Univerziteta Kolorado demonstrirao je NUIT napade na moderne glasovne asistente koji se koriste na milionima uređaja, uključujući Apple pomoćnika Siri, Google pomoćnika, Microsoft Cortanu i Amazon Alexu, pokazujući mogućnost slanja zlonamernih komandi.
Dva načina za napad
Ono što čini NUIT efikasnim i opasnim, jeste to što mikrofoni u pametnim uređajima mogu da reaguju na ultrazvučne talase koje ljudsko uvo ne čuje, izvodeći napad s minimalnim rizikom od otkrivanja.
Istraživači su objasnili da bi NUIT mogao da se primeni na web-sajtovima koji puštaju medije ili YouTube snimke, tako da je nije teško ubediti ljude da posete ove stranice ili puste zlonamerne medije na sajtovima.
Istraživači kažu da se NUIT napadi mogu izvesti na dva načina:
NUIT-1 – kada je uređaj izvor i meta napada. Na primer, napad se može pokrenuti na pametnom telefonu puštanjem audio-fajla što dovodi do toga da uređaj izvrši radnju, kao što je otvaranje garažnih vrata ili slanje poruke.
NUIT-2 – kada napad pokrene uređaj sa zvučnikom na drugi uređaj sa mikrofonom, kao na primer web-sajt na pametni zvučnik.
Ako pustite YouTube na pametnom televizoru, taj uređaj ima zvučnik, zar ne? Zvuk NUIT zlonamernih komandi će postati nečujan, a može da napadne i vaš mobilni telefon i komunicira sa Google pomoćnikom ili Alexa uređajima – objasnili su istraživači.
– To se može desiti i tokom Zoom sastanaka. Ako neko sam sebe uključi, može da koristi signal napada da hakuje vaš telefon koji se nalazi pored računara tokom sastanka.
Jednostavno hakovanje
Zvučnik odakle se pokreće NUIT mora biti podešen na iznad određenog nivoa kako bi napad funkcionisao, a zlonamerne komande traju samo 0,77 sekundi.
Scenariji napada koje su demonstrirali istraživači uključuju slanje komandi IoT uređajima povezanim s pametnim telefonom, poput otključavanja vrata ili onemogućavanja kućnih alarma, sa malim rizikom da žrtva shvati da se nešto dešava.
Međutim, pošto pametni asistenti takođe mogu da obavljaju radnje kao što je otvaranje web-sajtova, napadači bi mogli da dovedu pametne telefone do stranice koji se mogu koristiti za preuzimanje malvera na uređaj tako što će iskorišćavati ranjivost u pretraživaču i to bez interakcije žrtve.
Istraživači su testirali 17 popularnih uređaja koje pokreću glasovni asistenti i otkrili da se svi mogu hakovati sa bilo kojim glasom, čak i robotski generisanim, osim Apple Siri, koji zahteva emulaciju ili krađu glasa mete napada da bi prihvatio komande.
Postoji li zaštita?
Iz tog razloga, preporuka je da se, ako možete, autentifikujete na svom pametnom uređaju pomoću glasa.
Korisnici bi, takođe, trebalo da prate aktivaciju mikrofona koji imaju namenske indikatore na ekranu na iOS/Android pametnim telefonima.
Korišćenje slušalica umesto zvučnika efikasno štiti od NUIT ili sličnih napada.
Detalji o NUIT napadu biće prezentovani na 32. USENIX simpozijumu o bezbednosti koji će se održati 9. i 11. avgusta u SAD.
