Исследователи из калифорнийского университета в Беркли выявили и наглядно показали, каким образом хакеры могут красть данные пользователей, используя приложения с такими голосовыми помощниками, как Siri, Alexa и Google Assistant.
Все это можно осуществить с помощью секретных команд, неразличимых для восприятия человеческим ухом. Эти команды могут быть вставлены в музыкальные произведения, в видео на YouTube или быть просто неким шумом, который ваши устройства будут "слышать" и распознавать. И в этих звуках будут содержаться команды, которые отдадут управление в руки злоумышленников. Пользователи даже не будут знать, что их голосовые помощники помогли украсть личные и платежные данные, перевели куда-то деньги со счета, оплатили чью-то покупку в интернет-магазине, поделились с кем-то информацией по кредитным картам и т. д.
Эксперты выявили этот критический недостаток в уязвимости у всех распространенных голосовых помощников. Достаточно, чтобы к смартфону, компьютеру или планшету были подключены наушники с микрофоном или умные колонки. Сигнал, переданный с помощью электромагнитных волн, преобразуется в электрический сигнал, который устройство распознает как звук микрофона. Для получения контроля над голосовым помощником не нужно дорогое и сложное оборудование.
Достаточно иметь необходимую программу, антенну и усилитель сигнала.
Секретные команды могут приказать голосовому помощнику открыть сайты с вредоносными программами, отправить спам или фишинговые писмьма по электронной почте, набрать нужный телефонный номер.
Как отмечает издание The Daily Mail, все крупнейшие хайтек-гиганты - Apple, Google, Amazon - знают о существовании этой проблемы и работают над ее разрешением. К примеру, в случае с устройствами с IOS Siri реагирует даже при заблокированном экране смартфона, но она имеет функцию верификации голоса пользователя, поэтому хакерам не удастся так просто отдать ей команды. А пользователи Android могут отключать голосовой помощник по умолчанию.
В прошлом году исследователи из Китая уже обнаружили, что системы распознавания голоса способны реагировать на "неслышные" команды, отправленные с помощью ультразвуковых волн. Они назвали этот тип уязвимости DolphinAttack.
В микрофонах, встроенных в устройства или подключенных к ним, используются мембраны, которые вибрируют в результате звуковых волн. Но если ухо человека не слышит звук с частотой выше 20 кГц, то устройство все равно их принимает и распознает.
"Проникновение" в устройство исследователи продемонстрировали на iPhone и обнародовали на видео.