Nečujni ultrazvučni napad može kontrolisati vaš telefon i druge pametne uređaje

Vesti, 03.04.2023, 11:00 AM

Američki naučnici razvili su novi napad pod nazivom „Near-Ultrasound Inaudible Trojan“ (NUIT). Reč je o „nečujnom“ napadu na uređaje koje pokreću glasovni pomoćnici, kao što su pametni telefoni, pametni zvučnici i drugi IoT uređaji.

Tim istraživača sa Univerziteta Teksas u San Antoniju i Univerziteta Kolorado je demonstrirao NUIT napade na moderne glasovne asistente koji se koriste na milionima uređaja, uključujući Appleovog pomoćnika Siri, Google pomoćnika, Microsoftovu Cortanu i Amazonovu Alexu, pokazujući mogućnost slanja zlonamernih komandi tim uređajima.

Ono što čini NUIT efikasnim i opasnim je to što mikrofoni u pametnim uređajima mogu da reaguju na ultrazvučne talase koje ljudsko uvo ne može da čuje, izvodeći tako napad sa minimalnim rizikom od otkrivanja.

Istraživači su objasnili da bi NUIT mogao da se primeni na veb sajtovima koji puštaju medije ili YouTube video snimke, tako da je nije teško ubediti ljude da posete ove sajtove ili puste zlonamerne medije na sajtovima.

Istraživači kažu da se NUIT napadi mogu izvesti na dva načina:

Prvi metod, NUIT-1, je kada je uređaj i izvor i meta napada. Na primer, napad se može pokrenuti na pametnom telefonu puštanjem audio fajla što dovodi do toga da uređaj izvrši radnju, kao što je otvaranje garažnih vrata ili slanje poruke.

Drugi metod, NUIT-2, je kada napad pokrene uređaj sa zvučnikom na drugi uređaj sa mikrofonom, kao na primer veb sajt na pametni zvučnik.

„Ako pustite YouTube na svom pametnom televizoru, taj pametni TV ima zvučnik, zar ne? Zvuk NUIT zlonamernih komandi će postati nečujan, a može da napadne i vaš mobilni telefon i komunicira sa vašim Google pomoćnikom ili Alexa uređajima“, objasnili su istraživači. „To se čak može desiti i u Zoomu tokom sastanaka. Ako neko sam sebe uključi, može da koristi signal napada da hakuje vaš telefon koji se nalazi pored računara tokom sastanka.“

Zvučnik odakle se pokreće NUIT mora biti podešen na iznad određenog nivoa da bi napad funkcionisao, a zlonamerne komande traju samo 0,77 sekundi.

Scenariji napada koje su demonstrirali istraživači uključuju slanje komandi IoT uređajima povezanim sa pametnim telefonom, poput otključavanja vrata ili onemogućavanja kućnih alarma, sa malim rizikom da žrtva shvati da se nešto dešava.

Međutim, pošto pametni asistenti takođe mogu da obavljaju radnje kao što je otvaranje veb sajtova, napadači bi mogli da dovedu pametne telefone do veb sajtova koji se mogu koristiti za preuzimanje malvera na uređaj tako što će iskorišćavati ranjivost u pretraživaču i to bez interakcije žrtve.

Istraživači su testirali 17 popularnih uređaja koje pokreću glasovni asistenti i otkrili da se svi mogu hakovati sa bilo kojim glasom, čak i robotski generisanim, osim Apple Siri, koji zahteva emulaciju ili krađu glasa mete napada da bi prihvatio komande.

Zato je preporuka da se, ako možete to, autentifikujete na svom pametnom uređaju pomoću glasa.

Korisnici bi, takođe, trebalo da prate aktivaciju mikrofona koji imaju namenske indikatore na ekranu na iOS i Android pametnim telefonima.

Korišćenje slušalica umesto zvučnika za slušanje nečega efikasno štiti od NUIT ili sličnih napada.

Detalji o NUIT napadu biće prezentovani na 32. USENIX simpozijumu o bezbednosti koji će se održati 9. i 11. avgusta 2023. u SAD.