音声アシスタントは、何も聞かずにハッカーの命令をどのように実行できるのか
WeLiveSecurity の常連読者は、悪意のある者がそのレパートリーを増やし続けるにつれて、サイバー攻撃とその手法が進化し続けていることを読んでも驚かないでしょう。 また、セキュリティの脆弱性が発見され、パッチが適用されると、(悲しいことに、時々、 搾取された後)、悪意のある攻撃者はソフトウェア アーマーの新たな欠陥を見つけます。
ただし、場合によっては、「単なる」(別の)セキュリティの抜け穴ではなく、新しい形式の攻撃がニュースになることがあります。 これは最近、NUIT と呼ばれるかなり型破りな攻撃手法でも同様でした。 良いニュース? NUIT は学者によって発見されましたが、誰かがいたずらや完全なサイバー犯罪に悪用したという報告はありません。 そうは言っても、プライバシーとセキュリティが別の方法で危険にさらされる可能性があること、および NUIT には実際には XNUMX つの形式があるという事実を認識しておいても損はありません。
NUIT が日の目を見た経緯
NUIT、または 超音波に近い聞こえないトロイの木馬は、Siri、Google アシスタント、Cortana、Amazon Alexa などの音声アシスタントを使用する、または音声アシスタントを搭載するデバイスのサイレントおよびリモート乗っ取りを開始するために展開される可能性があるクラスの攻撃です。 その結果、音声コマンドを受け入れるあらゆるデバイス (携帯電話、タブレット、スマート スピーカーなど) がオープン シーズンになる可能性があります。 最終的に、この攻撃は、プライバシーの侵害や信頼の喪失、さらには企業のインフラストラクチャの侵害に至るまで、重大な金銭的損失をもたらす可能性があります。
研究者チームによる説明 テキサス大学サンアントニオ校 (UTSA) とコロラド大学コロラドスプリングス校 (UCCS) では、デジタル アシスタントのマイクがスピーカーから再生される近超音波に応答できるため、NUIT が可能です。 この音声コマンドは、ユーザーには聞こえませんが、常時オンの音声アシスタントにアクションの実行を促します。たとえば、アラームを止めるか、スマート ロックで保護された玄関ドアを開けるなどです。
確かに、長年にわたって波紋を広げた音響攻撃は NUIT が初めてではありません。 以前にも、同様の興味深い名前の攻撃が説明されています。 サーフィン攻撃, DolphinAttack, リップリード および slicklogin、これには、スマートホームアシスタントをターゲットにした他の聞こえない攻撃も含まれます。
お休み
前述したように、NUIT には XNUMX つの形式があります。
- ヌイット1 – これは、デバイスが攻撃のソースとターゲットの両方である場合です。 このような場合、必要なのは、ユーザーが携帯電話でオーディオ ファイルを再生することだけで、デバイスに位置情報を含むテキスト メッセージの送信などのアクションを実行させるだけです。
- ヌイット2 – この攻撃は、PC からスマート スピーカーへのように、スピーカーを備えたデバイスからマイクを備えた別のデバイスに対して開始されます。
例として、Teams または Zoom でウェビナーを視聴しているとします。 ユーザーが自分自身のミュートを解除して音を再生すると、その音が携帯電話に拾われ、危険な Web サイトへのアクセスを促し、デバイスがマルウェアに感染する可能性があります。
あるいは、携帯電話でスピーカーを使って YouTube ビデオを再生していると、携帯電話が不当な動作を実行する可能性があります。 ユーザーの観点から見ると、この攻撃は特別な操作を必要としないため、事態はさらに悪化します。
NUIT では夜眠れなくてもいいですか?
このような攻撃を実行するには何が必要でしょうか? NUIT が動作するには、NUIT を起動するスピーカーの音量を一定レベル以上に設定し、コマンドの持続時間は 0.77 秒 (XNUMX 秒) 未満である必要があります。
さらに、当然のことながら、音声アシスタントを有効にする必要があります。 研究者らによると、テストした 17 台のデバイスのうち、 Apple Siri 対応デバイスのクラックは困難になった。 これは、ハッカーが携帯電話にコマンドを受け入れるようにするには、まずユーザー固有の音声指紋を盗む必要があるためです。
だからこそ、誰もが自分の声でのみ機能するようにアシスタントを設定する必要があります。 あるいは、不要な場合は音声アシスタントをオフにすることを検討してください。 実際、あらゆる種類の IoT デバイスを使用するときは、常にサイバー知識を身につけてください。 スマートギズモはサイバー犯罪者の格好の餌食になる可能性がある.
医師の命令
研究者らは、NUIT の研究についても発表します。 32nd USENIXセキュリティシンポジウム、また、ユーザーがデバイスをスキャンして、ランダムなマイクのアクティベーションを確認することをお勧めします。 Android デバイスと iOS デバイスの両方で、マイクのアクティブ化が画面の上部に表示されます。通常、Android では緑色の点が表示され、iOS では茶色の点が表示されます。 この場合、すべてのアプリが周囲の音を聞く必要があるわけではないため、アプリのマイク アクセス許可を確認することも検討してください。
同様に、イヤホンやヘッドセットを使用して音声を聞くと、周囲と音声を共有する可能性が低くなり、この種の攻撃から身を守ることができます。
これは、サイバーセキュリティの基本を確実に理解する良い機会でもあります。すべてのデバイスとソフトウェアを最新の状態に保ち、すべてのオンライン アカウントで XNUMX 要素認証を有効にし、すべてのデバイスで信頼できるセキュリティ ソフトウェアを使用してください。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
- クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/2023/06/07/hear-no-evil-ultrasound-attacks-voice-assistants/
- :は
- :not
- $UP
- 17
- 7
- a
- 私たちについて
- 上記の.
- 学者
- 同意
- 受諾
- アクセス
- 従った
- アカウント
- 越えて
- Action
- アクティベーション
- アクティベーション
- 俳優
- 実際に
- に対して
- アラーム
- アレクサ
- すべて
- また
- Amazon
- an
- および
- アンドロイド
- 別の
- どれか
- アプリ
- です
- AS
- アシスタント
- アシスタント
- At
- 攻撃
- 攻撃
- オーディオ
- 認証
- 知って
- 悪い
- の基礎
- BE
- なぜなら
- になる
- き
- さ
- 両言語で
- 違反
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 場合
- 例
- 原因
- 一定
- class
- コロラド州
- 来ます
- comes
- コマンドと
- 会社の
- 妥協
- 妥協する
- 結果
- 検討
- 続ける
- 可能性
- カバー
- サイバー攻撃
- サイバー犯罪
- サイバーセキュリティ
- 危険な
- 展開
- 記載された
- デバイス
- Devices
- デジタル
- 悲惨な
- ディスプレイ
- do
- ありません
- そうではありません
- によって
- DOT
- ダビングされた
- 簡単に
- enable
- 使用可能
- 高めます
- さらに
- EVER
- あらゆる
- 誰も
- 進化
- 例
- 実際
- File
- もう完成させ、ワークスペースに掲示しましたか?
- 指紋
- 名
- フォーム
- フォーム
- 発見
- から
- フロント
- 取得する
- 良い
- でログイン
- グリーン
- グリーンドット
- ハッカー
- 持ってる
- ヘッドライン
- ヘッドセット
- 聞く
- 耳
- 隠されました
- しかしながら
- HTML
- HTTPS
- 傷つける
- イリノイ州
- in
- 含めて
- インフラ関連事業
- 相互作用
- 興味をそそる
- iOS
- IOT
- IoTデバイス
- IT
- ITS
- JPG
- キープ
- 持続する
- 起動する
- 打ち上げ
- less
- レベル
- 光
- ような
- 可能性が高い
- 場所
- 抜け穴
- 損失
- 損失
- 製
- make
- 作る
- マルウェア
- 言及した
- メッセージ
- 方法
- メソッド
- マイクロフォン
- 金銭的な
- ずっと
- 名
- 自然
- 必要
- 必要とされる
- ニーズ
- 新作
- ニュース
- 夜
- いいえ
- of
- オフ
- on
- オンライン
- の
- 開いた
- or
- その他
- でる
- が
- 自分の
- 部
- PC
- 実行する
- パーミッション
- 視点
- 電話
- ピックアップ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- 演奏
- プレイヤー
- 再生
- 可能
- パワード
- 現在
- 前に
- プライバシー
- プライバシーとセキュリティ
- 保護
- ランダム
- 測距
- むしろ
- 読む
- 読者
- 最近
- 推奨する
- リモート
- レポート
- 評判の良い
- 必要とする
- 研究
- 研究者
- 反応します
- 結果
- レビュー
- リスク
- 前記
- サン
- 言う
- スキャン
- 画面
- シーズン
- 二番
- セキュア
- セキュリティ
- 送信
- セッションに
- シェアする
- すべき
- 同様に
- スマート
- ソフトウェア
- 一部
- 音
- ソース
- スピーカー
- 特定の
- そのような
- タブレット
- 取る
- 取り
- ターゲット
- 対象となります
- チーム
- チーム
- テスト
- テキサス州
- より
- それ
- アプリ環境に合わせて
- 自分自身
- その後
- そこ。
- 彼ら
- 考える
- この
- 時間
- 〜へ
- あまりに
- 信頼
- 順番
- 2
- 最終的に
- 型破りな
- ユニーク
- 大学
- 更新しました
- つかいます
- ユーザー
- users
- 通常
- ビデオ
- 動画
- 訪問
- ボイス
- ボリューム
- 脆弱性
- ました
- 見ている
- 波浪
- 仕方..
- ウェブサイト
- WELL
- した
- いつ
- which
- while
- 誰
- なぜ
- ワイド
- 幅
- 意志
- 無し
- 仕事
- もっと悪い
- でしょう
- 年
- You
- あなたの
- ユーチューブ
- ゼファーネット
- ズーム