По словам авторов проекта, голосовые ассистенты способны реагировать не только на человеческий голос, но и на ультразвуковые колебания, причем могут воспринимать их как обычные голосовые команды, хотя человеческое ухо их различить не в состоянии. В связи с этим потенциальные злоумышленники могут, подавая ассистентам ультразвуковые команды, перехватывать коды двухфакторной аутентификации для получения доступа к телефону. После чего они получают возможность, к примеру, совершать с него вызовы по разным номерам, при этом снимая деньги с вашего счета. И в случае если вы попадете в неприятную ситуацию, вам очень сложно будет доказать, что устройством пользовались не вы, а кто-то другой.
Программа для ультразвуковых атак, разработанная учеными, получила наименование SurfingAttack. Ее предшественницей является DolphinAttack, также предназначенная для «обмана» голосовых помощников посредством подачи «бесшумных» команд. Существуют похожие технологии BackDoor и LipRead, а также Light Commands с аналогичной функцией, которая, правда, использует не ультразвук, а лазер.
Действие SurfingAttack основано на нелинейной природе микрофонных схем MEMS. Для эксперимента исследователи взяли простой пьезоэлектрический преобразователь за 5 долларов и прикрепили его к поверхности стола в помещении. При этом громкость ответов устройства, которое подверглось атаке, на команды извне была отрегулирована таким образом, чтобы владелец устройства их не слышал. К сожалению, неизвестно, знал ли он заранее о том, что будет происходить. Однако под столом был спрятан «жучок», который записывал ответы, чтобы потом можно было сверить результаты.
Выяснилось, что такие атаки можно проводить с расстояния 9 метров. То есть теоретически человек, который находится от вас на такой дистанции, может контролировать ваш смартфон или планшет, если у него есть для этого соответствующие инструменты. Например, это может быть ваш коллега или знакомый, с которым вы сидите в одной комнате.
Также оказалось, что материал стола, к которому прикрепляли преобразователь, не имеет значения, это с одинаковым успехом могут быть дерево, металл или стекло. Кроме того, не играет особой роли и конфигурация устройства.
А вот модель гаджета значение имеет. Так, Google Pixel, Apple iPhone, Samsung Galaxy S9 и Xiaomi Mi 8 оказались уязвимыми для SurfingAttack в отличие от Huawei Mate 9 и Samsung Galaxy Note 10+. Специалисты посчитали, что это связано со структурой и материалом корпуса устройства. Не поддались атакам и умные колонки Amazon Echo и Google Home.
Конечно, в определенных ситуациях технология SurfingAttack может оказаться даже полезной. Например, если вы потеряли телефон где-то поблизости и не можете его найти или по какой-то причине к устройству нет доступа обычным путем.
Однако использование голосовых помощников - это отнюдь не единственный способ дистанционного контроля над гаджетами. Наверняка все пользователи хотя бы раз сталкивались со странным поведением своих девайсов, когда те сами собой включались и отключались, сильно грелись, у них внезапно менялись настройки, ни с того ни с сего пропадали и появлялись различные файлы и документы… Это может быть признаком не только какого-то технического сбоя, но и хакерской атаки.
Многим пользователям приходят письма, в которых незнакомцы угрожают обнародовать конфиденциальную информацию, которую они якобы получили, следя за человеком в течение длительного времени через камеру компьютера или смартфона, и требуют заплатить за то, чтобы эти сведения не были преданы огласке. Конечно, мало кто в это верит, но тем не менее техническая возможность все это проделать у профессиональных хакеров имеется, подтверждают эксперты. И не факт, что даже заклеенная веб-камера вас спасет.
Да, интернет вещей - это очень удобно и полезно, однако стоит помнить о том, что если устройство имеет выход в Сеть, то оно обладает такими же свойствами, как компьютер или смартфон. А значит, злоумышленники могут получить к ним несанкционированный доступ и заразить вирусами или иным путем получать конфиденциальную информацию о пользователе.
В прошлом году специалисты по информационной безопасности университета Бен-Гуриона (Израиль) экспериментальным путем выяснили, что практически любое смарт-устройство можно взломать в течение получаса, конечно, если обладать необходимыми знаниями.
Особенно осторожными рекомендуется быть в местах скопления людей, к примеру в метро, так как человек рядом, обладая некоторыми несложными знаниями, может подключиться к вашему смартфону по wi-fi или Bluetooth и завладеть вашими данными.
Теоретически хакер, которому удастся влезть в систему, подключившись к одному из устройств домашней сети, может получить контроль над всеми операциями, в том числе и банковскими, ведь мы обычно «раздаем» один wi-fi на все гаджеты. Между тем в бюджетных моделях, которые приобретают большинство из нас, чаще всего не предусмотрено никаких механизмов защиты от несанкционированного проникновения…
Так что в ближайшее время, видимо, нам всем придется озаботиться защитными системами, которые помешали бы злоумышленникам взламывать наши устройства.