การโจมตีแบบโต้คลื่น: Hijack Siri, Alexa, Google, Bixby ด้วย Ultrasound Waves

ผู้ช่วยเสียงช่วยคุณทำงานบ้านในแต่ละวัน ไม่ว่าจะเป็นการนัดหมายกับลูกค้าเพื่อเล่นเพลง และอื่นๆ ตลาดที่เกี่ยวข้องกับผู้ช่วยเสียงมีตัวเลือกมากมาย: Google , Siri , AlexaและBixby ผู้ช่วยเหล่านี้เปิดใช้งานโดยใช้คำสั่งเสียงและทำสิ่งต่างๆ ให้เสร็จสิ้น ตัวอย่างเช่น คุณสามารถขอให้Alexaเล่นเพลงที่คุณเลือกได้ อุปกรณ์เหล่านี้สามารถจี้และใช้กับเจ้าของอุปกรณ์ได้ วันนี้ เราจะมาเรียนรู้เกี่ยวกับSurfing Attacksโดยใช้ คลื่นอัล ตร้าซาวด์(Ultrasound)และปัญหาที่อาจเกิดขึ้น

Surfing Attack คืออะไร?

ท่องภาพการโจมตี

อุปกรณ์อัจฉริยะติดตั้งผู้ช่วยเสียงเช่นGoogle Home Assistant , AlexaจากAmazon , SiriจากAppleและผู้ช่วยเสียงที่ไม่เป็นที่นิยม ฉันไม่พบคำจำกัดความใด ๆ บนอินเทอร์เน็ต(Internet)ดังนั้นฉันจึงกำหนดดังนี้:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

คุณอาจรู้อยู่แล้วว่าหูของมนุษย์สามารถรับรู้เสียงได้เฉพาะระหว่างช่วงความถี่ (20 Hz ถึง 20KHz หากใครส่งสัญญาณเสียงที่อยู่นอกสเปกตรัมเสียงของหูมนุษย์บุคคลนั้นจะไม่ได้ยิน เช่นเดียวกับUltrasoundsความถี่คือ เกินกว่าการรับรู้ของหูมนุษย์

คนร้ายเริ่มใช้ คลื่น อัลตราซาวนด์(Ultrasound)เพื่อจี้อุปกรณ์ต่างๆ เช่น สมาร์ทโฟนและบ้านอัจฉริยะ ที่ใช้คำสั่งเสียง คำสั่งเสียงเหล่านี้ที่ความถี่ของ คลื่น อัลตราซาวนด์(Ultrasound)อยู่นอกเหนือการรับรู้ของมนุษย์ ที่ช่วยให้แฮกเกอร์ได้รับข้อมูลที่ต้องการ (ซึ่งจัดเก็บไว้ในอุปกรณ์อัจฉริยะที่สั่งงานด้วยเสียง) ด้วยความช่วยเหลือจากผู้ช่วยด้านเสียง พวกเขาใช้เสียงที่ไม่ได้ยินเพื่อการนี้

สำหรับการโจมตีด้วยการท่องเว็บ แฮกเกอร์ไม่จำเป็นต้องอยู่ในสายตาของอุปกรณ์อัจฉริยะเพื่อควบคุมโดยใช้ผู้ช่วยเสียง ตัวอย่างเช่น หากวาง iPhone ไว้บนโต๊ะ ผู้คนจะสันนิษฐานว่าเสียงสามารถเคลื่อนที่ไปมาในอากาศได้ ดังนั้นหากคำสั่งเสียงลอยมาในอากาศ พวกเขาจะสังเกตเห็นแฮกเกอร์ได้ แต่นั่นไม่ใช่เพราะคลื่นเสียงต้องการเพียงแค่ตัวนำในการเผยแพร่

รู้(Know)ว่าสิ่งประดิษฐ์ที่เป็นของแข็งก็สามารถช่วยให้เสียงแพร่กระจายได้ตราบเท่าที่พวกมันสามารถสั่นสะเทือนได้ โต๊ะที่ทำจากไม้ยังสามารถส่งคลื่นเสียงผ่านไม้ได้ นี่คือ คลื่น อัลตราซาวนด์(Ultrasound) ที่ใช้เป็นคำสั่งในการดำเนินการอย่างผิดกฎหมายบนสมาร์ทโฟนของผู้ใช้เป้าหมายหรืออุปกรณ์อัจฉริยะอื่น ๆ ที่ใช้ผู้ช่วย เสียงเช่นGoogle HomeหรือAlexa

อ่าน(Read) : Password Spray Attackคืออะไร ?

Surfing Attacks ทำงานอย่างไร?

การใช้คลื่นอัลตราซาวนด์ที่ไม่ได้ยินซึ่งสามารถเดินทางผ่านพื้นผิวที่เครื่องถูกเก็บไว้ได้ ตัวอย่างเช่น หากโทรศัพท์อยู่บนโต๊ะไม้ สิ่งที่พวกเขาต้องทำคือติดเครื่องเข้ากับโต๊ะที่สามารถส่งคลื่นอัลตราซาวนด์เพื่อโจมตีการโต้คลื่นได้

อันที่จริง อุปกรณ์ติดอยู่กับโต๊ะของเหยื่อหรือพื้นผิวใดๆ ก็ตามที่เขาหรือเธอใช้เพื่อวางผู้ช่วยเสียงไว้ อุปกรณ์นี้ลดระดับเสียงผู้ช่วยอัจฉริยะก่อน เพื่อไม่ให้เหยื่อสงสัยอะไร คำสั่งมาทางอุปกรณ์ที่แนบมากับตาราง และการตอบสนองต่อคำสั่งก็ถูกรวบรวมโดยเครื่องเดียวกันหรืออย่างอื่นที่อาจอยู่ในที่ห่างไกล

ตัวอย่างเช่น อาจมีคำสั่งว่า " Alexaโปรดอ่านSMS ที่ ฉันเพิ่งได้รับ" คำสั่งนี้ไม่ได้ยินกับคนในห้องแชท Alexaอ่านSMSที่มีOTP (รหัสผ่านแบบใช้ครั้งเดียว) ด้วยเสียงที่ต่ำมาก การตอบสนองนี้ถูกจับอีกครั้งโดยอุปกรณ์ไฮแจ็กและส่งไปยังทุกที่ที่แฮกเกอร์ต้องการ

การโจมตีดังกล่าวเรียกว่าSurfing Attacks ฉันได้พยายามลบคำศัพท์ทางเทคนิคทั้งหมดออกจากบทความเพื่อให้แม้แต่ผู้ที่ไม่ใช่ผู้เชี่ยวชาญด้านเทคโนโลยีสามารถเข้าใจปัญหานี้ได้ สำหรับการอ่านขั้นสูง นี่คือลิงค์ไปยังบทความวิจัย(a link to a research paper)ที่อธิบายได้ดียิ่งขึ้น

อ่านต่อ(Read next) : การโจมตีของ Living Off The Land(What are Living Off The Land attacks)คืออะไร ?



About the author

ฉันเป็นวิศวกรเสียงมืออาชีพที่มีประสบการณ์มากกว่า 10 ปี ฉันทำงานในวงการเพลงมาสองสามปีแล้ว และได้พัฒนาชื่อเสียงที่แข็งแกร่งในสาขานั้น ฉันยังเป็นบัญชีผู้ใช้ที่มีประสบการณ์สูงและดูแลความปลอดภัยของครอบครัวอีกด้วย ความรับผิดชอบของฉันรวมถึงการจัดการบัญชีผู้ใช้ การให้การสนับสนุนลูกค้า และการให้คำแนะนำด้านความปลอดภัยในครอบครัวแก่พนักงาน



Related posts