Yeni bir araştırma, bir saldırganın telefonları, akıllı hoparlörleri veya dijital asistanı olan herhangi bir cihazı sessizce kontrol altına almak için duyulamayan ultrasonu nasıl kullanabileceğini gösteriyor.
İlk olarak BleepingComputer tarafından rapor edilen bir çalışmada araştırmacılar, telefon görüşmeleri yapmak, akıllı evlerde kapıların kilidini açmak, alarmları devre dışı bırakmak, metin mesajlarını okumak ve daha fazlası için cihazlara sesli komutlar vermek için bu tekniği kullanabileceğinizi buldular. Saldırı Alexa, Cortana, Google Assistant ve Siri gibi dijital asistanlar üzerinde test edildi.
NUIT (Near-Ultrasound Inaudible Trojan) adı verilen teknik, San Antonio'daki Texas Üniversitesi ve Colorado Springs Üniversitesi'ndeki araştırmacılardan oluşan bir ekip tarafından USENIX Security Symposium 2023 için hazırlanan bir sunumda yer aldı.
Araştırmacılar, çalışmayı açıklayan bir web sitesinde "NUIT, sesli asistanlara (Siri, Google Assistant, Alexa, Cortana) karşı internet üzerinden uzaktan yürütülebilen yeni bir duyulamaz saldırıdır" diye yazıyor. Saldırıyı bir dizi YouTube videosunda çalışırken görebilirsiniz.
Saldırı yöntemi, dijital asistanların insan kulağının duyamayacağı sesleri alabilen mikrofonlar kullanmasından faydalanıyor. NUIT, akıllı cihazlara sesli komutlar vermek için yakın ultrason frekans aralığındaki (16kHz-20kHz) sesleri çalıyor, bazı komutların çalınması bir saniyeden az sürüyor.
Çalışma, NUIT'i birkaç farklı yolla kullanabileceğinizi gösteriyor. Örneğin, bir saldırgan sizi kandırarak telefonunuzda bir web sitesine ya da YouTube videosuna giden bir bağlantıya tıklamanızı sağlayabilir, bu da telefonunuzu kontrol etmek için kısa bir gecikmeden sonra duyulamayan sesli komutları oynatır. Araştırmacılar NUIT'lerin bir telefondan diğerini kontrol ederken, Zoom aramaları üzerinden çalarken, bir akıllı hoparlörü veya başka bir IOT cihazını kontrol etmek için bir telefonda çalarken ve hatta ek arka plan müziği olan dosyalara gömüldüğünde de çalıştığını gösterdi.
Testlerde, NUIT saldırıları iPhone'lar, Samsung Galaxy telefonları ve Google Home ve Amazon Echo Cihazları gibi aygıtları kontrol etmeyi başarmış görünüyor.
Bu tür yeni saldırılar gerçek dünyada şimdilik karşılaşılması zor eylemler olsa da, yapay zekannın yükselişiyle birlikte sesli komutlar günlük hayatımız için daha önemli hale gelecek ve ses istismarları her zamankinden daha fazla talep görecek.
Araştırmacılar Ağustos ayında USENIX Güvenlik Sempozyumunda çalışma hakkında daha fazla ayrıntı sunacaklar.