Исследователи Чжэцзянского университета перенесли обычные голосовые команды на ультразвуковые частоты, которые не слышны человеческому звуку. Они выяснили, что современные ассистенты понимают эти звуки и могут реагировать на них. Этот относительно простой взлом позволяет исследователям управлять гаджетами с помощью нескольких слов, произносимыми на частотах, которые никто из людей не слышит. Эту технику они назвали DolphinAttack.
Среди уязвимых ассистентов — решения от Apple, Google, Amazon, Microsoft, Samsung, and Huawei. Взлому поддаются все iPhone и Mac, ПК, работающие на Windows 10, и устройства с Alexa.
Исследователи не просто активировали основные команды, такие как «Hey Siri» или «Okay Google». Они также могли попросить iPhone позвонить на номер 1234567890 и заставить Macbook или Nexus 7 открыть вредоносный сайт. Более того, им удалось перенаправить на другую локацию навигационную систему Audi Q3.
«Неслышные человеку голосовые команды ставят под сомнение общепринятое предположение о том, что злоумышленники в большинстве случаев могут манипулировать [голосовым помощником] только речью и в результате могут быть обнаружены пользователем», — резюмировали исследователи.
Чтобы взломать каждый помощник, исследователи использовали смартфон с дополнительными аппаратными средствами, включая крошечный динамик и усилитель. Их общая стоимость — $3. В теории, методы китайских исследователей могут повторить кто угодно с тех пор, как они стали публичными.
В некоторых ситуациях атаки с использованием техники DolphinAttack можно совершить лишь с расстояния в несколько сантиметров, но, например, в случае с Apple Watch, этот показатель увеличивается до метра. «Взломать iPhone, похоже, не проблема. Хакеру лишь нужно быть вместе с вами в толпе. На своем телефоне он воспроизведет команду на частотах, которые вы не услышите. И вы скорее всего не заметите, как ваш смартфон зайдет на сайт через Safari или Chrome и установит вредоносное ПО», — отмечает Fast Company.
Китайские исследователи пришли к выводу, что компании, которые работают над ассистентами знают об уязвимостях, но не спешат их устранять. Ведь Apple, Amazon, Google и другие могут просто запретить голосовым помощникам определять звуки на частоте выше 20 кГц. Fast Company подчеркивает, что есть две теории, которые объясняют это.
Первая заключается в том, что ассистенты должны слышать больший спектр частот, чтобы лучше понимать людей. Согласно второй теории, некоторые компании используют ультразвук, чтобы связать свои устройства со смартфонами. Например, благодаря высоким частотам с телефоном может взаимодействовать Dash Button от Amazon. Google Chromecast также использует эту технологию.
Напомним, ранее AIN.UA рассказывал, что хакеры научились взламывать кардиостимуляторы.