HTCinside


I ricercatori hanno hackerato Siri, Alexa e Google Home puntando loro dei laser

Lo sviluppo più interessante della tecnologia mobile è l'uso di un assistente personale. Home di Google, Alexa di Amazon e Siri di Apple stanno semplificando il nostro lavoro con un semplice comando vocale. Tra tutte le cose buone che può fare, è difficile immaginare che questi assistenti vocali personali siano vulnerabili agli hacker.

Un recente rapporto tecnico ha rivelato che hacker e aggressori prendono di mira questi assistenti vocali digitali tramite raggi laser. Iniettano comandi impercettibili e invisibili nel dispositivo che agiscono segretamente su comandi dannosi come aprire la porta, avviare veicoli, sbloccare siti Web riservati, ecc.

Lanciando raggi laser a bassa potenza sul sistema ad attivazione vocale, gli aggressori possono facilmente irrompere da una distanza di circa 360 piedi. Ciò potrebbe essere possibile perché non esiste un meccanismo di autenticazione dell'utente integrato nei sistemi. Quindi, diventano un facile bersaglio per gli hacker. Anche se ci fosse un sistema di autenticazione, non sarebbe un grosso problema per gli aggressori decifrare il PIN o la password, perché c'è un limite al numero di tentativi o supposizioni che gli utenti possono provare.

A parte la vulnerabilità esistente negli assistenti vocali digitali, l'hack basato sulla luce può essere iniettato anche da un edificio all'altro. Questa tecnica di intrusione può essere utilizzata anche per sfruttare la vulnerabilità presente nei microfoni. I microfoni utilizzano i sistemi micro elettromeccanici (MEMS).

Questi MEMS reagiscono alla luce proprio come fa per il suono. Sebbene il soggetto oggetto della ricerca sia Google Home, Sri e Alexa, si può tranquillamente concludere che tutti i telefoni, tablet e altri dispositivi che funzionano secondo il principio dei MEMS possono essere soggetti a tali attacchi di comandi leggeri.

Leggi -Hacker che utilizzano file audio WAV per iniettare malware e cryptominer

Oltre alla forza di sfruttare la vulnerabilità, ci sono anche alcune limitazioni dell'attacco tramite la tecnica basata sulla luce. Diciamo che l'attaccante deve avere una visuale diretta. Nella maggior parte dei casi, l'attacco avrà successo solo quando la luce cade su una parte specifica del microfono.

Tuttavia, nel caso della luce laser a infrarossi, può rilevare anche i dispositivi vicini. La ricerca ha presentato gli attacchi basati sulla luce che rispondono ai comandi vocali e suggerisce anche che può funzionare bene in ambienti semi-realistici. In futuro, gli esperti di tecnologia si aspettano che questi attacchi saranno più gravi.

Troviamo che i sistemi VC sono spesso privi di meccanismi di autenticazione dell'utente o, se i meccanismi sono presenti, sono implementati in modo errato (ad esempio, consentendo la forzatura bruta del PIN).

Mostriamo come un aggressore può utilizzare comandi vocali iniettati di luce per sbloccare la porta d'ingresso protetta da smart-lock del bersaglio, aprire le porte del garage, fare acquisti su siti Web di e-commerce a spese del bersaglio o persino individuare, sbloccare e avviare vari veicoli (ad es. Tesla e Ford) se i veicoli sono collegati all'account Google del target'. – come scritto nel rapporto di ricerca intitolato “Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems. '