Enterprise Cloud & Data Center 2022

SurfingAttack: แฮ็ก Voice Assistant บนสมาร์ตโฟนด้วยคลื่นอุลตร้าโซนิก

March 2, 2020 IT Knowledge, IT Researches, Mobile Security, Physical Security, Security, Threats Update, Vulnerability and Risk Management

ทีมนักวิจัยจาก Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences และ University of Nebraska-Lincoin ออกมาเปิดเผยการโจมตีที่เรียกว่า “SurfingAttack” ซึ่งช่วยให้พวกเขาสามารถส่งคำสั่งโดยใช้คลื่นอุลตร้าโซนิกผ่านวัสดุแข็งเพื่อสื่อสารและเข้าควบคุมระบบ Voice Assistant บนอุปกรณ์สมาร์ตโฟนได้โดยที่เหยื่อไม่รู้ตัว

การโจมตีนี้ใช้ประโยชน์จากคุุณสมบัติของการส่งสัญญาณเสียงผ่านทางวัสดุแข็ง เช่น โต๊ะไม้ เพื่อสร้างการติดต่อสื่อสารระหว่างอุปกรณ์สั่งการด้วยเสียงหรือ Voice Assistant และแฮ็กเกอร์จากระยะไกลโดยไม่จำเป็นต้องอยู่ในแนวสายตา ส่งผลให้แฮ็กเกอร์สามารถสั่งการอุปกรณ์ได้ตามต้องการ ไม่ว่าจะเป็นขโมยรหัสยืนยันตัวตนแบบ 2-Factor จาก SMS หรือสั่งให้โทรศัพท์โทรออกไปยังปลายทางที่ต้องการได้ เป็นต้น

SurfingAttack โจมตีช่องโหว่คุณสมบัติ Nonlinearity ของวงจรไมโครโฟน MEMS (ไมโครโฟนมาตรฐานที่ใช้บนอุปกรณ์สั่งการด้วยเสียงส่วนใหญ่ ประกอบด้วยแผ่นชิ้นส่วนขนาดเล็กเรียกว่าไดอะแฟรม เมื่อถูกคลื่นเสียงกระทบ มันจะแปลงสัญญาณเสียงให้กลายเป็นสัญญาณไฟฟ้า แล้วส่งไป Decode เพื่อให้กลายเป็นคำสั่งสำหรับสั่งการอุปกรณ์ต่อไป) เพื่อส่งคำสั่งในรูปสัญญาณอุลตร้าโซนิก (สัญญาณเสียงความถี่สูงที่มนุษย์ไม่ได้ยิน) โดยใช้ตัวแปลงสัญญาณเพียโซอิเล็กทริค (Piezoelectric Transducer) ที่ติดอยู่กับพื้นผิวของโต๊ะ ที่น่าสนใจคือ การโจมตีสามารถทำงานได้จากระยะไกลถึง 30 ฟุต (ประมาณ 10 เมตร)

นอกจากนี้ นักวิจัยยังได้อำพรางการโจมตีด้วยการเริ่มส่งสัญญาณอุลตร้าโซนิกเพื่อปรับระดับเสียงของอุปกรณ์ลงเพื่ออำพรางการโจมตีและลดความเสี่ยงที่เหยื่อจะรู้ตัว รวมไปถึงติดตั้งอุุปกรณ์ดักฟังเสียงไว้ใต้โต๊ะใกล้กับเหยื่อเพื่อคอยฟังสัญญาณตอบกลับ หลังจากติดตั้งทุกอย่างเรียบร้อยแล้ว สามารถเริ่มการโจมตีด้วยการส่งสัญญาณคำสั่ง “OK Google” หรือ “Hey Siri” เพื่อให้ Voice Assistant เตรียมพร้อมทำงาน จากนั้นส่งคำสั่งโจมตี เช่น “Read my messages” หรือ “Call Sam with speakerphone” โดยใช้ระบบ Text-to-Speech (TTS) ในการแปลงคำสั่งไปเป็นสัญญาณอุุลตร้าโซนิกได้ตามที่ต้องการ

ทีมนักวิจัยได้ทดสอบการโจมตีนี้กับ Voice Assistant บนสมาร์ตโฟนหลายรุ่น เช่น Google Pixel, Apple iPhone, and Samsung Galaxy S9 และ Xiaomi Mi 8 รวมไปถึงโต๊ะที่มีพื้นผิวหลายแบบ อย่างเหล็ก แก้ว หรือไม้ พบว่าสามารถโจมตีสำเร็จได้ทั้งหมด อย่างไรก็ตาม Amazon Echo หรือ Google Home นั้นไม่สามารถโจมตีได้

อ่านงานวิจัยฉบับเต็มได้ที่: https://surfingattack.github.io/papers/NDSS-surfingattack.pdf

ที่มา: https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand