นักวิจัยเผยใช้เลเซอร์สั่ง Smart Speaker ได้ คาดกระทบทั้ง Siri, Alexa และ Google Assistant

นักวิจัยจากมหาวิทยาลัย Electro-Communication จากโตเกียวและมหาวิทยาลัยมิชิแกนได้ร่วมมือกันเผยแพร่ผลงานวิจัยที่สาธิตการใช้แสงเลเซอร์เพื่อควบคุมอุปกรณ์ชิปรับสัญญาณเสียง (MEMS Microphone) โดยพบว่าการโจมตีสามารถทำได้กับ Siri, Alexa และ Google Assistant ได้

อธิบายหลักการทำงานของ Light Commands

ไอเดียคือปกติแล้วอุปกรณ์รับสัญญาณเสียงจะใช้ชิปไมโครโฟนหรือ MEMS Microphone เพื่อแปลงเสียงเป็นสัญญาณไฟฟ้าแต่ประเด็นคือนักวิจัยพบว่าสามารถใช้ลำแสงเลเซอร์ยิงเข้าไปที่อุปกรณ์ดังกล่าวเพื่อสร้างเป็นสัญญาณคำสั่งได้เหมือนกัน โดยนักวิจัยได้ทดลองระยะสูงสุดคือ 110 เมตรซึ่งอาจจะทำได้ดีกว่านี้ อย่างไรก็ตามข้อจำกัดคืออุปกรณ์ต้องอยู่ในตำแหน่งที่มองเห็น (Line of sight) ไม่มีอะไรมากั้นแสง

ทั้งนี้ความน่ากังวลคืออุปกรณ์สมัยใหม่อย่าง Siri, Alexa หรือ Google Assistant ต่างมีการอาศัย MEMS Microphone ซึ่งโดยทั่วไปสามารถทำได้ถึงการสั่งซื้อของ ล็อกประตู เป็นผู้ช่วยทั่วไป โดยหลังจากที่นักวิจัยทดสอบแล้วพบว่า Google Home และ Alexa มีการป้องกันเสียงที่ไม่คุ้นเคยในการออกคำสั่งซื้อขายแต่อนุญาตให้ออกคำสั่งปลดล็อกได้

สำหรับที่มาที่ไปของงานคือนักวิจัยชี้ว่าปกติแล้วอุปกรณ์รับคำสั่งด้วยเสียงนั้นถือว่าตัวมักอยู่ใกล้ชิดกับผู้ใช้หรือมุมปิดบัง จึงไม่มีการพิสูจน์ตัวตนก่อนใช้งาน ประกอบกับการใช้เลเซอร์ไม่มีการส่งเสียงให้เหยื่อรู้ตัวด้วย แต่ผู้ใช้งานก็สามารถสังเกตได้จากแสงที่ยิงเข้ามาได้

อย่างไรก็ดีในฝั่งของการป้องกันนักวิจัยแนะว่าในด้านซอฟต์แวร์อาจจะมีการสุ่มคำถามทดสอบก่อนปฏิบัติคำสั่ง ส่วนด้านฮาร์ดแวร์อาจใช้อุปกรณ์หลายตัวเพื่อรับเสียงหากรับเสียงได้ไม่ครบทุกตัวก็ไม่ต้องสนใจ รวมถึงผู้ผลิตอาจสร้างชิ้นส่วนบางอย่างมาบังแสงเลเซอร์เมื่อรับสัญญาณเสียง ผู้สนใจสามารถติดตามงานวิจัยได้ที่ “Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems” หรือเยี่ยมชมเว็บไซต์ได้ที่ LightCommand

ที่มา :  https://www.zdnet.com/article/alexa-siri-google-assistant-smart-speakers-theyre-all-open-to-remote-laser-attacks/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel แพตช์ช่องโหว่ 6 รายการ แนะผู้ใช้อัปเดต

Intel ได้ประกาศออกแพตช์ช่องโหว่ของเดือนมกราคมจำนวน 6 รายการ ซึ่งส่งผลกระทบกับ VTune และ Intel Processor Graphics Driver สำหรับ Windows และ Linux …

TechTalk Webinar: ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software

TechTalkThai ขอเรียนเชิญ IT Manager, IT Security Manager, IT Security Engineer, IT Compliance Officer และผู้ดูแลระบบ IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software" เพื่อทำความรู้จักกับเทคโนโลยีในการตรวจสอบการเข้าถึงสองระบบสำคัญอย่าง Microsoft AD และ File Sharing ตอบโจทย์ด้าน Security และ Compliance โดยเฉพาะ ในวันศุกร์ที่ 24 มกราคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้