Michigan Üniversitesi ve Osaka Üniversitesi'nden araştırmacılar yeni saldırı tekniği Google Assistant, Amazon Alexa, Facebook Portal ve Apple Siri'yi kullanan akıllı hoparlörler, tabletler, akıllı telefonlar ve akıllı ev kontrol sistemleri gibi ses kontrolünü destekleyen cihazlar için lazer kullanarak sesli komutları uzaktan simüle etmenize olanak tanır. Deneyler sırasında, 75 metre mesafeden bir pencere camına ve 110 metre açık alana gizlice sesli komut verilmesini mümkün kılan bir saldırı gösterildi.
Saldırı kullanıma dayalıdır değişen (modüle edilmiş) ışığın bir malzeme tarafından emilmesinin ortamın termal uyarılmasına, malzemenin yoğunluğunda bir değişikliğe ve mikrofon zarı tarafından algılanan ses dalgalarının görünümüne yol açtığı. Lazer gücünü modüle ederek ve ışını mikrofonla deliğe odaklayarak, başkaları tarafından duyulmayacak ancak mikrofon tarafından algılanacak ses titreşimlerinin uyarılmasını sağlayabilirsiniz.
Saldırı, modern cihazlarda kullanılan elektromekanik mikrofonları etkiliyor ().
Soruna duyarlılık açısından test edilen tüketici cihazları arasında Google Home, Google NEST, Amazon Echo, Echo Plus/Spot/Dot, Facebook Portal Mini, Fire Cube TV, EchoBee 4, iPhone XR, iPad 6th Gen, Samsung Galaxy'nin çeşitli modelleri yer alıyor. S9 ve Google Pixel 2, ayrıca Tesla ve Ford otomobilleri için akıllı kilitler ve sesli kontrol sistemleri. Önerilen saldırı yöntemini kullanarak, bir garaj kapısını açmak, çevrimiçi alışveriş yapmak, akıllı kilide erişim için PIN kodunu tahmin etmek veya ses kontrolünü destekleyen bir arabayı çalıştırmak için komut vermeyi simüle edebilirsiniz.
Çoğu durumda, 50 mW'lık bir lazer gücü, 60'den fazla mesafeden bir saldırı gerçekleştirmek için yeterlidir. Saldırıyı gerçekleştirmek için 14-18 dolarlık bir lazer işaretleyici, 5 dolarlık bir Wavelength Electronics LD339CHA lazer sürücüsü, 059 dolarlık bir Neoteck NTK28 ses amplifikatörü ve 650 dolarlık bir Opteka 1300-200mm telefoto lens kullanıldı. Işını cihazdan büyük bir mesafeye doğru bir şekilde odaklamak için deneyciler optik görüş olarak bir teleskop kullandılar. Yakın mesafelerde lazer yerine odaklanmamış parlak bir ışık kaynağı, örneğin .
Ses tanıma genellikle cihaza erişim aşamasında kullanıldığından (önceden kaydedilebilen ve daha sonra modüle etmek için kullanılabilen "OK Google" veya "Alexa" telaffuzuyla kimlik doğrulama), bir saldırı genellikle sahibinin sesinin simülasyonunu gerektirmez. bir saldırı sırasındaki sinyal). Ses özellikleri, modern makine öğrenimi tabanlı konuşma sentezi araçlarıyla da taklit edilebilir. Saldırıyı engellemek için üreticilerin ek kullanıcı kimlik doğrulama kanalları kullanması, iki mikrofondan gelen verileri kullanması veya mikrofonun önüne ışığın doğrudan geçişini engelleyen bir bariyer yerleştirmesi teşvik ediliyor.
Kaynak: opennet.ru