HTCinside
Le développement le plus intéressant de la technologie mobile est l'utilisation d'un assistant personnel. Google Home, Alexa d'Amazon et Siri d'Apple simplifient tous notre travail sur une simple commande vocale. De toutes les bonnes choses qu'il peut faire, il est difficile d'imaginer que ces assistants vocaux personnels sont vulnérables aux pirates.
Un rapport technique récent a révélé que les pirates et les attaquants ciblent ces assistants vocaux numériques via des faisceaux laser. Ils injectent des commandes inaudibles et invisibles dans l'appareil qui agissent secrètement sur des commandes malveillantes comme ouvrir la porte, démarrer des véhicules, débloquer des sites Web confidentiels, etc.
En lançant des faisceaux laser de faible puissance sur le système à commande vocale, les attaquants peuvent facilement pénétrer à une distance d'environ 360 pieds. Cela pourrait être possible car aucun mécanisme d'authentification des utilisateurs n'est intégré aux systèmes. Ainsi, ils deviennent une cible facile pour les pirates. Même s'il y avait un système d'authentification, ce ne serait pas un gros problème pour les attaquants de casser le code PIN ou le mot de passe, car il y a un plafond sur le nombre de tentatives ou de suppositions que les utilisateurs peuvent essayer.
Outre la vulnérabilité existante dans les assistants vocaux numériques, le hack basé sur la lumière peut être injecté même d'un bâtiment à l'autre. Cette technique d'intrusion peut également être utilisée pour exploiter la vulnérabilité présente dans les microphones. Les microphones utilisent des systèmes micro électromécaniques (MEMS).
Ces MEMS réagissent à la lumière comme au son. Bien que le sujet de recherche soit Google Home, Sri et Alexa, on peut conclure sans risque que tous les téléphones, tablettes et autres appareils fonctionnant sur le principe des MEMS peuvent être sujets à de telles attaques de commande légères.
Lis -Les pirates utilisant des fichiers audio WAV pour injecter des logiciels malveillants et des cryptomineurs
Outre la force d'exploiter la vulnérabilité, il existe également certaines limitations de l'attaque via la technique basée sur la lumière. Dites, l'attaquant doit avoir une ligne de mire directe. Dans la plupart des cas, l'attaque ne réussira que lorsque la lumière tombe sur une partie spécifique du microphone.
Cependant, dans le cas de la lumière laser infrarouge, il peut également détecter les appareils à proximité. La recherche a présenté que les attaques basées sur la lumière répondent aux commandes vocales et suggèrent également qu'elles peuvent bien fonctionner dans des environnements semi-réalistes. À l'avenir, les experts en technologie s'attendent à ce que ces attaques soient plus graves.
Nous constatons que les systèmes VC manquent souvent de mécanismes d'authentification des utilisateurs, ou si les mécanismes sont présents, ils sont mal implémentés (par exemple, en permettant le forçage brutal du code PIN).
Nous montrons comment un attaquant peut utiliser des commandes vocales à injection de lumière pour déverrouiller la porte d'entrée protégée par un verrou intelligent de la cible, ouvrir les portes de garage, faire des achats sur des sites Web de commerce électronique aux frais de la cible, ou même localiser, déverrouiller et démarrer divers véhicules (par exemple, Tesla et Ford) si les véhicules sont connectés au compte Google de la cible. – comme écrit dans le rapport de recherche intitulé « Light Commands : Laser-Based Audio Injection Attacks on Voice-Controllable Systems. ”