محققان یک روش حمله جدید به نام SurfingAttack را کشف کردند که به مهاجم این اجازه را میدهد که دستگاه کنترل صدا را از فاصله دور کنترل کند. در این روش، مهاجمان میتوانند رمز عبور سرویس پیام کوتاه را ربوده و تماسهای کلاهبرداری را بدون اطلاع صاحبان انجام دهند.
سیستمهای Voice Controller یا همان کنترل کنندهی صدا فاقد مکانیزم احراز هویت هستند ، که به مهاجمان امکان میدهد دستگاهها را ربوده و آنها بتوانند عملکردهای زیر را انجام دهند.
- سوئیچهای خانه هوشمند را کنترل کنید
- درهای گاراژ هوشمند را باز کنید
- خرید آنلاین کنید
- از راه دور قفل و وسایل نقلیه خاص را راه اندازی کنید
- قفلهای هوشمند را با فشار ناخوشایند پین کاربر باز کنید
SurfingAttack
برای راه اندازی SurfingAttack ، هیچ دسترسی فیزیکی یا تعامل با کاربر لازم نیست و هکرها به صورت پنهانی میتوانند به هدف خود برسند. این حمله میتواند بدون هشدار به کاربران و به صورت مخفیانه انجام شود . تمام چیزی که باید مهاجمان به ان دسترسی داشته باشند ، خط دسترسی به دستگاه هدف و درگاه میکروفون آن است. مهاجمان میتوانند با تزریق دستورات صوتی به دستیارهای صوتی دستور دهند پیامهای مختلفی مانند کد تأیید اعتبار برای انتقال پول را که از طریق پیام کوتاه ارسال میشود، برای انها بفرستد.
از نظر محققان این حمله بدون توجه به جهت یابی هدف یا محیط فیزیکی که در آن قرار دارد ، انجام میشود و همچنین موفقیت امیز بودن این حمله تحت تأثیر اشیاء روی یک میز شلوغ قرار نمیگیرد.
SurfingAttack در برابر 17 تلفن هوشمند مشهور و 4 نوع جدول نمونه، مورد آزمایش قرار گرفت که از بین آنها با 15 تلفن هوشمند و 3 نوع جدول موفقیت آمیز بود.
هدف اصلی هکر در اینجا، برقراری ارتباط از راه دور با دستگاه کنترل صدای صوتی قربانی برای تزریق دستورات صوتی غیرمجاز یا دسترسی به اطلاعات حساس و بدون اطلاع قربانی است.
سخت افزار ضبط صدا در سیستمهای کنترل صدا معمولاً شامل یک سیستم میکرو الکترومکانیکی (MEMS) است که یک لرزش مکانیکی را به یک سیگنال دیجیتال تبدیل میکند. این حمله از غیر خطی بودن مدارهای میکروفون برای تزریق دستورات غیرشنیداری به این سیستمها استفاده میکند. همچنین ، این حمله را میتوان از مسافت 30 متری راه اندازی کرد.
محققان مقالهای را با عنوان: SurfingAttack ” حمله پنهان تعاملی بر روی دستیاران صوتی با استفاده از امواج اولتراسونیک هدایت شده “ منتشر کردند که جزئیات این حمله را نشان میداد (در لینک مرجع قابل دسترسی است).
SurfingAttack – Hackers Use Ultrasonic Waves to Control Voice-controlled Devices Secretly