DolphinAttack: สั่งการ Alexa, Siri และ Cortana ด้วยคลื่นอัลตราซาวด์

6 นักวิจัยจากมหาวิทยาลัยเจ้อเจียง ประเทศจีน ค้นพบวิธีการโจมตีรูปแบบใหม่ที่ใช้คลื่นอัลตราซาวด์ ซึ่งเป็นคลื่นเสียงที่อยู่นอกเหนือขอบเขตการได้ยินของมนุษย์ ในการส่งคำสั่งไปยังซอฟต์แวร์สั่งการด้วยเสียงเพื่อเข้าควบคุมอุปกรณ์ ไม่ว่าจะเป็น Smartphone, Smart Home Assistants หรือแม้แต่รถยนต์อัจฉริยะ โดยเรียกการโจมตีนี้ว่า DolphinAttack

ทีมนักวิจัยประสบความสำเร็จในการแปลงคำสั่งเสียงปกติให้อยู่ในรูปคลื่นสัญญาณในย่านความถี่อัลตราซาวด์ (23 – 48 kHz) แล้วใช้อุปกรณ์อิเล็กทรอนิกส์ราคาประมาณ 100 บาทในการส่งคลื่นสัญญาณดังกล่าวไปยังอุปกรณ์ที่รันซอฟต์แวร์สำหรับสั่งการด้วยเสียงยอดนิยม 7 รายการ ได้แก่ Alexa, Cortana, Google Now, Huawei HiVoice, Samsung S Voice และ Siri ส่งผลให้นักวิจัยสามารถสั่งให้อุปกรณ์เหล่านั้น ไม่ว่าจะเป็น Smartphone, PC, Smart Home Assistants หรือแม้แต่ระบบสั่งการด้วยเสียงที่ติดตั้งบนรถยนต์อัจฉริยะของ Audi ได้

การโจมตีที่ได้ทดสอบ ได้แก่ การเปิดแอพ Facetime บน iPhone, การสั่งเล่นเพลงบน Amazon Echo และการป่วนระบบนำทางของรถยนต์ Audi นอกจากนี้ นักวิจัยยังระบุอีกว่า สามารถต่อยอดการโจมตีเพื่อสั่งให้เบราเซอร์ของผู้ใช้เข้าถึงเว็บไซต์อันตราย ติดตั้งแอพที่มีมัลแวร์แฝงอยู่ สมัครบริการพิเศษ หรือสั่งโทรศัพท์ให้โทรออก เป็นต้น โดยมีระยะทำการไกลถึง 1.75 เมตร และเช่นเดียวกับการสั่งการด้วยเสียงทั่วไป ภาษาที่ใช้และเสียงรบกวนมีผลต่อประสิทธิภาพและระยะทางในการโจมตีเช่นกัน

ทีมนักวิจัยได้แนะนำถึงวิธีป้องกัน DolphinAttack คือ ให้เจ้าของซอฟต์แวร์สั่งการด้วยเสียงออกแพทช์สำหรับป้องกันไม่ให้อุปกรณ์รับคำสั่งเสียงที่มาในย่านความถี่สูงกว่า 20 kHz อย่างไรก็ตาม คำแนะนำนี้อาจถูกตีตกไป เพราะเจ้าของซอฟต์แวร์บางรายอาจต้องการใช้คุณสมบัติดังกล่าวในการติดตามการใช้งานของผู้ใช้

อ่านผลงานวิจัยฉบับเต็มได้ที่ DolphinAttack: Inaudible Voice Commands [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-can-use-ultrasounds-to-take-control-of-alexa-siri-cortana-others/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google อัปเดตใช้ File Signature ตรวจสอบแอปพลิเคชันบน Android

Google เปลี่ยนวิธีการตรวจสอบความถูกต้องของแอปพลิเคชันบน Android ก่อนการติดตั้ง โดยทางบริษัทได้แก้ไข Header ของ APK ไฟล์เพื่อเพิ่ม metadata ข้อมูลที่เป็น Signature ของไฟล์ Application นั้นลงไป …

คนร้ายชาวยูเครน 4 คนถูกจับฐานตั้งเว็บปลอมเทรด Cryptocurrency

ตำรวจของยูเครเข้าจับชายอายุระหว่าง 20-26 ปี 4 คนผู้ต้องสงสัยข้อหาตั้ง 6 เว็บปลอมเพื่อขโมยเงินเทรด Cryptocurrency ของเหยื่อ โดยทางตำรวจกล่าวว่า “พวกเขามีทักษะเฉพาะในด้านการเขียนโปรแกรมและสร้างระบบบริหารจัดการเนื้อหา (CMS) ขั้นมาสำหรับไซต์เหล่านั้น” คนร้ายนั้นได้ใช้วิธีการสร้างความน่าเชื่อถือของเว็บด้วยการแสดงความเห็นบนโลกออนไลน์และให้คะแนนในด้านบวก