• Home
  • Chimica
  • Astronomia
  • Energia
  • Natura
  • Biologia
  • Fisica
  • Elettronica
  • Quando una luce è un ladro che dice alla porta del tuo garage di aprirsi

    Credito:lightcommands.com

    Laser brillanti agli assistenti vocali come Alexa e Siri, ricercatori del Michigan e del Giappone hanno realizzato un hack in cui i laser avevano il potere dei comandi della voce umana.

    Puntando il laser attraverso la finestra sui microfoni all'interno di dispositivi come i tablet, o telefoni, un attaccante lontano può inviare da remoto comandi impercettibili e potenzialmente invisibili su cui agisce Alexa, Portale, Assistente Google o Siri.

    In poche parole, un utente malintenzionato può dirottare l'assistente vocale e inviare comandi.

    In che modo il team ha realizzato la luce come suono? Viene sfruttata una vulnerabilità nei microfoni che utilizzano sistemi microelettromeccanici (MEMS). I componenti MEMS rispondono involontariamente alla luce come se fosse un suono, disse Ars Tecnica .

    Qual è la cosa peggiore che può succedere? Molto. Ars Tecnica descritto i laser iniettando comandi impercettibili nei dispositivi e facendoli surrettiziamente "per sbloccare le porte, visitare siti web, e individuare, sbloccare, e avviare i veicoli."

    I ricercatori hanno discusso il loro lavoro nel loro articolo pubblicato lunedì. "Light Commands:Laser-Based Audio Injection Attacks on Voice-Controllable Systems" è di cinque autori con affiliazioni dell'Università del Michigan (quattro) e dell'Università di Electro-Communications, Giappone (uno).

    "Nel nostro giornale, " loro hanno detto, "dimostriamo questo effetto, utilizzare con successo la luce per iniettare comandi dannosi in diversi dispositivi a comando vocale come altoparlanti intelligenti, compresse, e telefoni a grandi distanze e attraverso finestre di vetro."

    Quanto è stato facile da eseguire?

    Per contrastare l'autenticazione, abbastanza facile.

    "I sistemi a comando vocale spesso non richiedono agli utenti di autenticarsi, " ha scritto Ars Tecnica è Dan Goodin. L'attacco in quei casi potrebbe essere eseguito frequentemente senza bisogno di password o PIN. Frequentemente. "Anche quando i sistemi richiedono l'autenticazione per determinate azioni, " Ha aggiunto, "potrebbe essere possibile applicare la forza bruta al PIN, poiché molti dispositivi non limitano il numero di ipotesi che un utente può fare."

    Anche, l'attacco non era costoso da eseguire. I comandi luce possono essere montati a buon mercato, ha detto un presentatore video, utilizzando normali puntatori laser. Questo potrebbe essere fatto anche tra due edifici.

    Il team ha affermato di aver tentato il loro attacco ai popolari sistemi di riconoscimento vocale, vale a dire Amazon Alexa, Mela Siri, Portale Facebook, e Assistente Google. In realtà, anche se, "qualsiasi sistema che utilizza microfoni MEMS e agisce su questi dati senza ulteriore conferma dell'utente potrebbe essere vulnerabile, " secondo il proprio sito di comandi di luce.

    Qual è il pericolo con i comandi luminosi?

    Alexa, com'è il tempo? È innocuo. L'attaccante può controllare gli interruttori di casa intelligente. Apri porte da garage intelligenti. Avvia i veicoli a distanza. Infatti, puoi guardare un video che inietta "OK Google, apri la porta del garage" a Google Home semplicemente puntando un puntatore laser economico.

    Cosa si può fare per proteggersi dalla vulnerabilità? Il presentatore del video ha affermato che la vulnerabilità di base non può essere affrontata senza una costosa riprogettazione del microfono.

    "Stiamo collaborando con Amazon, Google, Mela, così come altri fornitori su misure difensive." Hanno maggiori informazioni e dimostrazioni su lightcommands.com.

    "Un ulteriore livello di autenticazione può essere efficace nel mitigare in qualche modo l'attacco. In alternativa, nel caso in cui l'attaccante non possa intercettare la risposta del dispositivo, fare in modo che il dispositivo ponga all'utente una semplice domanda casuale prima dell'esecuzione del comando può essere un modo efficace per impedire all'aggressore di ottenere l'esecuzione corretta del comando.

    "I produttori possono anche tentare di utilizzare tecniche di fusione dei sensori, come acquisire audio da più microfoni. Quando l'attaccante usa un singolo laser, solo un microfono riceve un segnale mentre gli altri non ricevono nulla...

    Un altro approccio consiste nel ridurre la quantità di luce che raggiunge il diaframma del microfono utilizzando una barriera che blocca fisicamente i fasci di luce diritti per eliminare la linea di vista verso il diaframma, o implementare una copertura non trasparente sopra il foro del microfono per attenuare la quantità di luce che colpisce il microfono. Però, notiamo che tali barriere fisiche sono efficaci solo fino a un certo punto, poiché un attaccante può sempre aumentare la potenza del laser nel tentativo di compensare l'attenuazione indotta dalla copertura o per bruciare attraverso le barriere, creando un nuovo percorso di luce."

    Quanto sopra è apparso sul loro sito dei comandi di luce, mentre il documento ha anche discusso approcci e limiti di mitigazione.

    Nel frattempo, Mariella Moon in Engadget ha ricordato ai suoi lettori che questa non sarebbe la prima volta che i ricercatori rilevano vulnerabilità negli assistenti digitali. "I ricercatori dell'Università cinese di Zheijiang hanno scoperto che Siri, Alexa e altri assistenti vocali possono essere manipolati con comandi inviati a frequenze ultrasoniche".

    © 2019 Scienza X Rete




    © Scienza https://it.scienceaq.com