Breaking News

DolphinAttack: สั่งการ Alexa, Siri และ Cortana ด้วยคลื่นอัลตราซาวด์

6 นักวิจัยจากมหาวิทยาลัยเจ้อเจียง ประเทศจีน ค้นพบวิธีการโจมตีรูปแบบใหม่ที่ใช้คลื่นอัลตราซาวด์ ซึ่งเป็นคลื่นเสียงที่อยู่นอกเหนือขอบเขตการได้ยินของมนุษย์ ในการส่งคำสั่งไปยังซอฟต์แวร์สั่งการด้วยเสียงเพื่อเข้าควบคุมอุปกรณ์ ไม่ว่าจะเป็น Smartphone, Smart Home Assistants หรือแม้แต่รถยนต์อัจฉริยะ โดยเรียกการโจมตีนี้ว่า DolphinAttack

ทีมนักวิจัยประสบความสำเร็จในการแปลงคำสั่งเสียงปกติให้อยู่ในรูปคลื่นสัญญาณในย่านความถี่อัลตราซาวด์ (23 – 48 kHz) แล้วใช้อุปกรณ์อิเล็กทรอนิกส์ราคาประมาณ 100 บาทในการส่งคลื่นสัญญาณดังกล่าวไปยังอุปกรณ์ที่รันซอฟต์แวร์สำหรับสั่งการด้วยเสียงยอดนิยม 7 รายการ ได้แก่ Alexa, Cortana, Google Now, Huawei HiVoice, Samsung S Voice และ Siri ส่งผลให้นักวิจัยสามารถสั่งให้อุปกรณ์เหล่านั้น ไม่ว่าจะเป็น Smartphone, PC, Smart Home Assistants หรือแม้แต่ระบบสั่งการด้วยเสียงที่ติดตั้งบนรถยนต์อัจฉริยะของ Audi ได้

การโจมตีที่ได้ทดสอบ ได้แก่ การเปิดแอพ Facetime บน iPhone, การสั่งเล่นเพลงบน Amazon Echo และการป่วนระบบนำทางของรถยนต์ Audi นอกจากนี้ นักวิจัยยังระบุอีกว่า สามารถต่อยอดการโจมตีเพื่อสั่งให้เบราเซอร์ของผู้ใช้เข้าถึงเว็บไซต์อันตราย ติดตั้งแอพที่มีมัลแวร์แฝงอยู่ สมัครบริการพิเศษ หรือสั่งโทรศัพท์ให้โทรออก เป็นต้น โดยมีระยะทำการไกลถึง 1.75 เมตร และเช่นเดียวกับการสั่งการด้วยเสียงทั่วไป ภาษาที่ใช้และเสียงรบกวนมีผลต่อประสิทธิภาพและระยะทางในการโจมตีเช่นกัน

ทีมนักวิจัยได้แนะนำถึงวิธีป้องกัน DolphinAttack คือ ให้เจ้าของซอฟต์แวร์สั่งการด้วยเสียงออกแพทช์สำหรับป้องกันไม่ให้อุปกรณ์รับคำสั่งเสียงที่มาในย่านความถี่สูงกว่า 20 kHz อย่างไรก็ตาม คำแนะนำนี้อาจถูกตีตกไป เพราะเจ้าของซอฟต์แวร์บางรายอาจต้องการใช้คุณสมบัติดังกล่าวในการติดตามการใช้งานของผู้ใช้

อ่านผลงานวิจัยฉบับเต็มได้ที่ DolphinAttack: Inaudible Voice Commands [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-can-use-ultrasounds-to-take-control-of-alexa-siri-cortana-others/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่