Amazon Alexa, Siri e Google Assistant hackeados com laser em falha de segurança
Desde que os alto-falantes inteligentes começaram a chegar às prateleiras, não faltam pessoas que levantam certas preocupações de segurança, sejam elas relacionadas a falhas de hardware e software ou apenas a questões gerais de privacidade. Hoje, uma equipe de pesquisadores está detalhando uma nova vulnerabilidade que existe em muitos alto-falantes inteligentes - junto com alguns telefones e tablets - que podem permitir que hackers emitam comandos de voz de longe.
A equipe, composta por pesquisadores da Universidade de Eletrocomunicação de Tóquio e da Universidade deMichigan, detalhou essa vulnerabilidade em um novo artigo intitulado "Comandos de luz: ataques de injeção de áudio com base em laser em sistemas controláveis por voz". Esse documento está disponível em um novo site centrado na explicação desses chamados comandos de luz, que essencialmente usam lasers paramanipule alto-falantes inteligentes com comandos falsos.
“Light Commands é uma vulnerabilidade dos microfones MEMS que permite que atacantes injetem remotamente comandos inaudíveis e invisíveis em assistentes de voz, como assistente do Google, Amazon Alexa, Portal do Facebook e AppleSiri usando luz ”, escreveram os pesquisadores."Em nosso artigo, demonstramos esse efeito, usando a luz com sucesso para injetar comandos maliciosos em vários dispositivos controlados por voz, como alto-falantes, tablets e telefones inteligentes a grandes distâncias e janelas de vidro".
A vulnerabilidade do Light Commands parece uma tempestade perfeita: como os hackers podem usar lasers para ativar alto-falantes, tablets ou telefones inteligentes, eles não precisam estar dentro do alcance típico de captação dos microfones do dispositivo. Como a exploração ainda funciona mesmo ao apontar um laser através de uma janela, os hackers nem precisam acessar o alto-falante inteligente antes de realizar esse ataque, e poderiam fazer isso sem alertar o proprietário do dispositivo, como comandos emitidos paraalto-falantes, telefones ou tablets dessa maneira seriam inaudíveis.
"Microfones convertem som em sinais elétricos", diz o site da Light Commands.“A principal descoberta por trás dos comandos de luz é que, além do som, os microfones também reagem à luz direcionada diretamente a eles. Assim, modulando um sinal elétrico na intensidade de um feixe de luz, os atacantes podem induzir microfones a produzir sinais elétricos como se estivessem recebendo áudio genuíno. ”
Os pesquisadores testaram uma ampla gama de dispositivos, incluindo a casa inteligentefalantes do Google, Amazon e Facebook, além de telefones e tablets como o iPhone XR, iPad de 6ª geração, Galaxy S9 e Google Pixel 2. Eles descobriram que, em alguns casos, essa exploração ainda pode funcionar a 110 metroslonge - que era o corredor mais longo que eles tinham à sua disposição enquanto testavam.
Obviamente, existem vários fatores que podem impedir que essa exploração funcione.A uma distância de 110 metros, os hackers provavelmente precisariam de uma lente telescópica e um tripé para focalizar o laser. No que diz respeito a smartphones e tablets, muitos deles respondem apenas especificamente à voz do usuário, tornando essa exploração significativamente mais difícil de realizar nesses dispositivos.
No entanto, em alto-falantes inteligentes que não possuem reconhecimento de voz como esse ativo, é possível que os hackers façam coisas bastante desagradáveis com essa exploração. Supondo que um alto-falante inteligente seja visível a partir de uma janela, os hackers podem usar o Light Commands para destrancar portas inteligentes, portas de garagem e portas de carros. Os hackers também podem usar essa exploração para fazer compras ou realmente executar qualquer comando que os falantes inteligentes reconheçam.
A boa notícia é que os pesquisadores dizem que até agora não há evidências de que essas explorações sejam usadas na natureza. Eles também observam que existem maneiras de os fabricantes impedirem esses ataques, talvez adicionando uma camada extra de autenticação às solicitações de voz (como fazer ao usuário uma pergunta aleatória antes de executar a ação). Os fabricantes também podem corrigir alto-falantes inteligentes para ignorar comandos apenas de um único microfone, pois essa exploração visa apenas um microfone por vez.
Ao escrever sobre essa vulnerabilidade, a Wired procurou o Google, Apple, Facebook e Amazon. Enquanto a Apple se recusou a comentar e o Facebook não respondeu, tanto a Amazon quanto o Google disseram que estavam analisando a pesquisa apresentada neste artigo e analisando o problema. Felizmente, isso significa que uma correção está a caminho, porque se deixada desmarcada, essa vulnerabilidade pode tornar qualquer alto-falante inteligente à vista de uma janela uma responsabilidade para os usuários.
Via: Slash Gear
Nenhum comentário