يستغل الباحثون نقاط الضعف في ميكروفونات الأجهزة الذكية والمساعدات الصوتية
نشر Guenevere Chen، الأستاذ المساعد في قسم UTSA للهندسة الكهربائية وهندسة الكمبيوتر، مؤخرًا ورقة حول USENIX Security 2023 توضح هجوم طروادة الصوتي غير المسموع لاستغلال نقاط الضعف في ميكروفونات الأجهزة الذكية والمساعدين الصوتيين – مثل Siri وGoogle Assistant وAlexa أو Amazon’s Echo وMicrosoft Cortana – وتوفران آليات دفاع للمستخدمين.
طوَّر الباحثون أحصنة طروادة غير الصوتية القريبة من الموجات فوق الصوتية، أو NUIT (الفرنسية تعني “الليل”) لدراسة كيفية استغلال المتسللين لمكبرات الصوت ومهاجمة المساعدين الصوتيين عن بُعد وبصمت عبر الإنترنت.
استخدمت تشين وطالبها في الدكتوراه تشي شيا وشوهواي شو أستاذ علوم الكمبيوتر في جامعة كولورادو كولورادو سبرينغز (UCCS) NUIT لمهاجمة أنواع مختلفة من الأجهزة الذكية من الهواتف الذكية إلى الأجهزة المنزلية الذكية.
تظهر نتائج عروضهم التوضيحية أن NUIT فعال في التحكم بشكل ضار في الواجهات الصوتية لمنتجات التكنولوجيا الشهيرة وأن هذه المنتجات التقنية، على الرغم من وجودها في السوق، بها نقاط ضعف.
قال شو: “الشيء المثير للاهتمام تقنيًا في هذا المشروع هو أن الحل الدفاعي بسيط؛ ومع ذلك، من أجل الحصول على الحل، يجب أن نكتشف ماهية الهجوم أولاً”.
أوضح تشين أن الطريقة الأكثر شيوعًا التي يستخدمها المتسللون للوصول إلى الأجهزة هي الهندسة الاجتماعية. يستدرج المهاجمون الأفراد لتثبيت تطبيقات ضارة أو زيارة مواقع ويب ضارة أو الاستماع إلى صوت ضار.
على سبيل المثال، يصبح الجهاز الذكي للفرد ضعيفًا بمجرد مشاهدته مقطع فيديو ضارًا على YouTube مضمنًا بهجمات NUIT الصوتية أو المرئية، إما على جهاز كمبيوتر محمول أو جهاز محمول.
يمكن للإشارات مهاجمة الميكروفون على نفس الجهاز بتكتم أو التسلل إلى الميكروفون عبر مكبرات الصوت من أجهزة أخرى مثل أجهزة الكمبيوتر المحمولة وأنظمة صوت السيارة والأجهزة المنزلية الذكية.
“إذا قمت بتشغيل YouTube على تلفازك الذكي، فهذا التلفزيون الذكي به مكبر صوت، أليس كذلك؟ سيصبح صوت أوامر NUIT الخبيثة غير مسموع، ويمكنه مهاجمة هاتفك الخلوي أيضًا والتواصل مع مساعد Google أو أجهزة Alexa.
يمكن حتى تحدث في Zooms أثناء الاجتماعات. إذا قام شخص ما بإلغاء كتم صوت نفسه، فيمكنه تضمين إشارة الهجوم لاختراق هاتفك الذي تم وضعه بجوار جهاز الكمبيوتر الخاص بك أثناء الاجتماع “، أوضح تشين.
بمجرد حصولهم على وصول غير مصرح به إلى جهاز، يمكن للمتسللين إرسال أوامر غير مسموعة لتقليل مستوى صوت الجهاز ومنع استجابة المساعد الصوتي من سماع المستخدم قبل متابعة المزيد من الهجمات.
أشار تشين إلى أن مكبر الصوت يجب أن يكون أعلى من مستوى ضوضاء معين للسماح لهجوم بنجاح، بينما لشن هجوم ناجح ضد أجهزة المساعد الصوتي، يجب أن يكون طول الأوامر الخبيثة أقل من 77 مللي ثانية (أو 0.77 ثانية).
قال تشين: “هذه ليست مشكلة برمجية أو برمجيات خبيثة فقط. إنها هجوم على الأجهزة يستخدم الإنترنت. الثغرة الأمنية هي التصميم غير الخطي للميكروفون، والذي سيتعين على الشركة المصنعة معالجته”.
“من بين 17 جهازًا ذكيًا اختبرناها، تحتاج أجهزة Apple Siri إلى سرقة صوت المستخدم بينما يمكن تنشيط أجهزة المساعد الصوتي الأخرى باستخدام أي صوت أو صوت آلي.”
يمكن لـ NUIT إسكات استجابة Siri لتحقيق هجوم غير ملحوظ حيث يتم التحكم بشكل منفصل في حجم استجابة iPhone وحجم الوسائط.
مع تحديد نقاط الضعف هذه، يقدم تشين وفريقه خطوط دفاع محتملة للمستهلكين. يقول الباحث UTSA أن الوعي هو أفضل دفاع.
يوصي تشين المستخدمين بمصادقة مساعديهم الصوتيين وتوخي الحذر عند النقر فوق الروابط ومنح أذونات الميكروفون. كما تنصح باستخدام سماعات الأذن بدلاً من مكبرات الصوت.
“إذا كنت لا تستخدم مكبر الصوت لبث الصوت، فمن غير المرجح أن تتعرض للهجوم من قبل NUIT. يؤدي استخدام سماعات الأذن إلى وضع قيود حيث يكون الصوت الصادر من سماعات الأذن منخفضًا جدًا بحيث لا يمكن نقله إلى الميكروفون.
إذا تعذر على الميكروفون استقبال الصوت غير المسموع أمر خبيث، لا يمكن تنشيط مساعد الصوت الأساسي بشكل ضار بواسطة NUIT “، أوضح تشين.
المصدر: techxplore
قد يهمك:
خدمات التمويل لي شركة متاجر للتمويل
