Tin tặc có thể kiểm soát hệ thống nhà thông minh Google Home, Alexa, Siri bằng tia Laser

Một nhóm các nhà nghiên cứu về an ninh mạng đã phát hiện ra một kỹ thuật thông minh để tiêm các lệnh vào các thiết bị điều khiển bằng giọng nói - tất cả chỉ bằng cách chiếu tia laser vào thiết bị được nhắm mục tiêu thay vì sử dụng lời nói.

Tin tặc có thể kiểm soát hệ thống nhà thông minh Google Home, Alexa, Siri bằng tia Laser - CyberSec365.org

Được đặt tên là 'Light Commands', kỹ thuật tấn công này dựa vào lỗ hổng trong micro MEMS được nhúng trong các hệ thống điều khiển bằng giọng nói phổ biến được sử dụng rộng rãi, vô tình phản ứng với ánh sáng như thể đó là âm thanh.

Theo các thí nghiệm được thực hiện bởi một nhóm các nhà nghiên cứu từ Đại học Nhật Bản và Michigan, một kẻ tấn công từ xa đứng cách thiết bị vài mét có thể ngấm ngầm kích hoạt cuộc tấn công bằng cách điều chỉnh biên độ của ánh sáng laser để tạo ra sóng áp suất âm.

"Bằng cách điều chỉnh tín hiệu điện theo cường độ của chùm sáng, kẻ tấn công có thể lừa micro tạo ra tín hiệu điện như thể chúng đang nhận được âm thanh chính thức", các nhà nghiên cứu cho biết trong bài báo của họ 

Trợ lý giọng nói thông minh trong điện thoại, máy tính bảng và các thiết bị thông minh khác, như Google Home và Nest Cam IQ, Amazon Alexa and Echo, Facebook Portal, thiết bị Apple Siri, đều dễ bị tấn công bằng tín hiệu dựa trên ánh sáng mới này.

"Như vậy, bất kỳ hệ thống nào sử dụng micrô MEMS và hoạt động trên dữ liệu này mà không có xác nhận người dùng bổ sung có thể dễ bị tổn thương", các nhà nghiên cứu cho biết.

Vì kỹ thuật cuối cùng cho phép kẻ tấn công tiêm lệnh như một người dùng hợp pháp, tác động của cuộc tấn công như vậy có thể được đánh giá dựa trên mức độ truy cập mà trợ lý giọng nói của bạn có trên các thiết bị hoặc dịch vụ được kết nối khác.

Do đó, với các cuộc tấn công bằng lệnh nhẹ, những kẻ tấn công cũng có thể chiếm quyền điều khiển bất kỳ hệ thống thông minh kỹ thuật số nào được gắn vào các trợ lý điều khiển bằng giọng nói được nhắm mục tiêu, ví dụ:

• Điều khiển công tắc nhà thông minh,
• Khóa cửa thông minh,
• Mua hàng trực tuyến,
• Khóa khóa và khởi động một số thiết bị từ xa,
• Mở khóa hoặc thay đổi mã PIN trên các ổ khóa thông minh.

Như được trình bày trong video trình diễn được liệt kê dưới đây: Trong một trong các thử nghiệm của họ, các nhà nghiên cứu chỉ cần tiêm lệnh "OK Google, open the garage door" cho Google Home bằng cách bắn tia laser vào Google Home được kết nối với hệ thống cửa tự động và mở thành công cửa nhà xe.

Trong một thử nghiệm thứ hai, các nhà nghiên cứu đã ban hành thành công lệnh tương tự, nhưng lần này là từ một tòa nhà riêng biệt, cách thiết bị Google Home được nhắm mục tiêu khoảng 230 feet thông qua một cửa sổ kính.

Bên cạnh các thiết bị tầm xa, các nhà nghiên cứu cũng có thể thử nghiệm các cuộc tấn công của họ đối với nhiều thiết bị điện thoại thông minh sử dụng trợ lý giọng nói, bao gồm iPhone XR, Samsung Galaxy S9 và Google Pixel 2, nhưng chúng chỉ hoạt động ở khoảng cách ngắn.

Phạm vi tối đa cho cuộc tấn công này phụ thuộc vào sức mạnh của tia laser, cường độ ánh sáng và tất nhiên là khả năng ngắm của bạn. Bên cạnh đó, các rào cản vật lý (ví dụ: cửa sổ) và sự hấp thụ sóng siêu âm trong không khí có thể làm giảm thêm phạm vi tấn công.

 Ngoài ra, trong trường hợp bật nhận dạng giọng nói, kẻ tấn công có thể đánh bại tính năng xác thực loa bằng cách xây dựng bản ghi lệnh thoại mong muốn từ các từ có liên quan được chủ sở hữu hợp pháp của thiết bị nói.

Theo các nhà nghiên cứu, các cuộc tấn công này khá "dễ dàng và rẻ tiền" bằng cách sử dụng một con trỏ laser đơn giản (dưới 20 đô la), trình điều khiển laser (339 đô la) và bộ khuếch đại âm thanh (28 đô la). Để thiết lập, họ cũng sử dụng ống kính tele (199,95 đô la) để tập trung tia laser cho các cuộc tấn công tầm xa.

Làm thế nào bạn có thể bảo vệ bản thân trước sự tổn thương ánh sáng trong cuộc sống thực? Các nhà sản xuất phần mềm nên cung cấp cho người dùng thêm một lớp xác thực bổ sung trước khi xử lý các lệnh để giảm thiểu các cuộc tấn công độc hại.

Hiện tại, giải pháp tốt nhất và phổ biến là bảo vệ các thiết bị trợ lý giọng nói của bạn khỏi các truy cập vật lý từ bên ngoài và tránh cho phép nó truy cập vào những thứ mà bạn không muốn người khác truy cập.

Tin tặc có thể kiểm soát hệ thống nhà thông minh Google Home, Alexa, Siri bằng tia Laser - CyberSec365.org

Đại Phát (Theo THN)