Breaking News

นักวิจัยเผยใช้เลเซอร์สั่ง Smart Speaker ได้ คาดกระทบทั้ง Siri, Alexa และ Google Assistant

นักวิจัยจากมหาวิทยาลัย Electro-Communication จากโตเกียวและมหาวิทยาลัยมิชิแกนได้ร่วมมือกันเผยแพร่ผลงานวิจัยที่สาธิตการใช้แสงเลเซอร์เพื่อควบคุมอุปกรณ์ชิปรับสัญญาณเสียง (MEMS Microphone) โดยพบว่าการโจมตีสามารถทำได้กับ Siri, Alexa และ Google Assistant ได้

อธิบายหลักการทำงานของ Light Commands

ไอเดียคือปกติแล้วอุปกรณ์รับสัญญาณเสียงจะใช้ชิปไมโครโฟนหรือ MEMS Microphone เพื่อแปลงเสียงเป็นสัญญาณไฟฟ้าแต่ประเด็นคือนักวิจัยพบว่าสามารถใช้ลำแสงเลเซอร์ยิงเข้าไปที่อุปกรณ์ดังกล่าวเพื่อสร้างเป็นสัญญาณคำสั่งได้เหมือนกัน โดยนักวิจัยได้ทดลองระยะสูงสุดคือ 110 เมตรซึ่งอาจจะทำได้ดีกว่านี้ อย่างไรก็ตามข้อจำกัดคืออุปกรณ์ต้องอยู่ในตำแหน่งที่มองเห็น (Line of sight) ไม่มีอะไรมากั้นแสง

ทั้งนี้ความน่ากังวลคืออุปกรณ์สมัยใหม่อย่าง Siri, Alexa หรือ Google Assistant ต่างมีการอาศัย MEMS Microphone ซึ่งโดยทั่วไปสามารถทำได้ถึงการสั่งซื้อของ ล็อกประตู เป็นผู้ช่วยทั่วไป โดยหลังจากที่นักวิจัยทดสอบแล้วพบว่า Google Home และ Alexa มีการป้องกันเสียงที่ไม่คุ้นเคยในการออกคำสั่งซื้อขายแต่อนุญาตให้ออกคำสั่งปลดล็อกได้

สำหรับที่มาที่ไปของงานคือนักวิจัยชี้ว่าปกติแล้วอุปกรณ์รับคำสั่งด้วยเสียงนั้นถือว่าตัวมักอยู่ใกล้ชิดกับผู้ใช้หรือมุมปิดบัง จึงไม่มีการพิสูจน์ตัวตนก่อนใช้งาน ประกอบกับการใช้เลเซอร์ไม่มีการส่งเสียงให้เหยื่อรู้ตัวด้วย แต่ผู้ใช้งานก็สามารถสังเกตได้จากแสงที่ยิงเข้ามาได้

อย่างไรก็ดีในฝั่งของการป้องกันนักวิจัยแนะว่าในด้านซอฟต์แวร์อาจจะมีการสุ่มคำถามทดสอบก่อนปฏิบัติคำสั่ง ส่วนด้านฮาร์ดแวร์อาจใช้อุปกรณ์หลายตัวเพื่อรับเสียงหากรับเสียงได้ไม่ครบทุกตัวก็ไม่ต้องสนใจ รวมถึงผู้ผลิตอาจสร้างชิ้นส่วนบางอย่างมาบังแสงเลเซอร์เมื่อรับสัญญาณเสียง ผู้สนใจสามารถติดตามงานวิจัยได้ที่ “Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems” หรือเยี่ยมชมเว็บไซต์ได้ที่ LightCommand

ที่มา :  https://www.zdnet.com/article/alexa-siri-google-assistant-smart-speakers-theyre-all-open-to-remote-laser-attacks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

PCI DSS เวอร์ชัน 4.0 เปิด Request for Comments แล้ว

Payment Card Industry Security Standard Council (PCI SSC) ประกาศเปิด Request for Comments สำหรับร่างมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศสำหรับองค์กรที่ต้องจัดการกับข้อมูลบัตรชำระเงินหรือ PCI DSS …

สรุปงานสัมมนา Cybersecurity Officer Far From Jail รับมือกฎหมายใหม่ด้วยโซลูชันที่เหมาะสม โดย NetONE และ Exclusive Networks

เมื่อช่วงต้นเดือนตุลาคม 2019 ที่ผ่านมา ทีมงาน TechTalkThai มีโอกาสได้ไปร่วมงานสัมมนา Cybersecurity Officer Far From Jail ที่จัดขึ้นโดยทีมงาน NetONE Network Solution และ Exclusive Networks เพื่ออัปเดตทั้งประเด็นสำคัญทางด้านกฎหมาย Cybersecurity พร้อมเทคโนโลยีและโซลูชันใหม่ๆ ที่จะมาเป็นเครื่องมือช่วยให้ฝ่าย Cybersecurity และผู้ดูแลระบบ IT ในธุรกิจองค์กรสามารถตอบรับต่อความต้องการใหม่ๆ ทางด้านกฎหมายได้ดีขึ้น จึงขอนำสรุปเนื้อหางานสัมมนาเอาไว้ดังนี้ครับ