מסתבר שזה מאוד פשוט להשתלט על סירי, קורטנה, ו-google assistant

חוקרים גילו ממצא די מטריד הנוגע לכך שהאקרים יכולים להשתלט על העוזרות הקוליות הפופולאריות של אפל, גוגל ואמזון באמצעות תדרי קול שלא ניתנים לשמיעה על ידי בני אדם

מקור: DolphinAttack

צוות חוקרים מאוניברסיטת Zhejiang בסין גילו מחדל אבטחה מטריד הנוגע לכל העוזרות הקוליות הפופולאריות מתוצרתן של אפל, גוגל, אמזון, מיקרוסופט, סמסונג ווואווי. באמצעות טכניקה הנקראת  DolphinAttack החוקרים הצליחו לתרגם פקודות קוליות לתדרים אולטראסוניים שלא ניתנים לשמיעה על ידי האוזן האנושית אמנם, אבל כן ניתנים לפענוח על ידי אותן עוזרות קוליות; בעזרת המיקרופון המובנה במכשיר והתוכנה הנלווית לו, אותן עוזרות אישיות שמצותתות לנו באופן פסיבי-אקטיבי במהלך היום יודעות לפענח את גלי קול הללו באופן מושלם. המשמעות היא שבצורה זו ניתן להשתלט פחות או יותר על כל מכשיר מחובר ולתת לו פקודות, מבלי שהגורם האנושי, הבעלים של אותו מכשיר, יהיו מודעים לכך.

האויב השקט

DolphinAttack יכול להזריק פקודות קוליות חשאיות ב -7 מערכות מתקדמות של זיהוי דיבור (למשל, Siri, Alexa) כדי להפעיל את המערכת תמיד ולהשיג התקפות שונות, הכוללות הפעלת סירי ליזום שיחת FaceTime ב- iPhone, הפעלת Google עכשיו כדי להעביר את הטלפון למצב טיסה, ואפילו מניפולציה של מערכת הניווט במכונית אאודי.

צוות החוקרים גילה כי ביכולתה של ה-DolphinAttack לשלוט סה״כ ב-7 מערכות מתקדמות של זיהוי דיבור, כאשר כל הפופולאריות שבהן – סירי, אלקסה ו-Google Now נמצאות ברשימה. שיטה זו מאפשרת להפעיל את המערכות שפועלות באופן תדיר על מצב ״Always On״ ולבקש מהן לבצע שלל פעולות; זה יכול להתחיל מבקשות פשוטות כמו להפעיל את סירי כדי ליזום שיחת FaceTime באייפון או להעביר את מכשיר האנדרואיד למצב טיסה, אבל זה גם יכול להגיע בקלות לבקשות מתקדמות יותר כמו לבקש מה-Amazon Echo לפתוח את הדלת האחורית של הבית או אפילו להשתלט על מערכת הניווט המובנית שנמצאת באוודי Q3.

באחד מסרטוני ההדגמה של המחקר ניתן לראות כיצד אותם גלי קול הצליחו להערים על האייפון, גם כאשר הוא היה נעול. בוידאו הקצר רואים כיצד שורר שקט מוחלט בחדר, אך לפתע סירי נדלקת ונדרשת לבצע שיחת טלפון, שיחה שבסופו של דבר היא מבצעת בהצלחה. טכניקת התקיפה הזו מנצלת את העובדה שהאדם הממוצע יכול לשמוע צלילים בין 20 הרץ ל-16,000 הרץ, ואותן פקודות קוליות שתורגמו בניסוי לגלי קול עברו את ה-20,000 הרץ. כדי להבין איך זה קורה, אתם מוזמנים להתנסות במבחן השמיעה הזה ולראות באיזה שלב אתם פשוט מפסיקים לשמוע (חכו לסוף).

בקיצור, מחדל אבטחה די רציני. אותם חוקרים לא רק לא רצו לזרוע פאניקה מבלי לספק פתרון, ולכן לדבריהם הם מציעים שני פתרונות הגנה כנגד תקיפה שכזו – האחד חומרתי והשני תוכנתי. יחד עם זאת, תקיפה שכזו יכולה להתבצע רק ממרחק של סנטימטרים ספורים ממכשיר הסמארטפון, אם כי במקרה של ה-Apple Watch לדוגמא נמצא כי הוא פגיע יותר, גם ממרחק של כמה מטרים בודדים.

Avatar

הילה חיימוביץ׳

גיקית, Deal With It

הגב

3 תגובות על "מסתבר שזה מאוד פשוט להשתלט על סירי, קורטנה, ו-google assistant"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מרדכי
Guest

אם צריך להגיע למרחק של סנטימטרים, זה לא כל כך פשוט

עופר
Guest

קרא את המשפט האחרון של הכתבה

מרדכי
Guest

קראתי אותו. מצד שני אין לו פחות פונקציונאליות?

wpDiscuz

תגיות לכתבה: