TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

SurfingAttack: แฮ็ก Voice Assistant บนสมาร์ตโฟนด้วยคลื่นอุลตร้าโซนิก

March 2, 2020 IT Knowledge, IT Researches, Mobile Security, Physical Security, Security, Threats Update, Vulnerability and Risk Management

ทีมนักวิจัยจาก Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences และ University of Nebraska-Lincoin ออกมาเปิดเผยการโจมตีที่เรียกว่า “SurfingAttack” ซึ่งช่วยให้พวกเขาสามารถส่งคำสั่งโดยใช้คลื่นอุลตร้าโซนิกผ่านวัสดุแข็งเพื่อสื่อสารและเข้าควบคุมระบบ Voice Assistant บนอุปกรณ์สมาร์ตโฟนได้โดยที่เหยื่อไม่รู้ตัว

การโจมตีนี้ใช้ประโยชน์จากคุุณสมบัติของการส่งสัญญาณเสียงผ่านทางวัสดุแข็ง เช่น โต๊ะไม้ เพื่อสร้างการติดต่อสื่อสารระหว่างอุปกรณ์สั่งการด้วยเสียงหรือ Voice Assistant และแฮ็กเกอร์จากระยะไกลโดยไม่จำเป็นต้องอยู่ในแนวสายตา ส่งผลให้แฮ็กเกอร์สามารถสั่งการอุปกรณ์ได้ตามต้องการ ไม่ว่าจะเป็นขโมยรหัสยืนยันตัวตนแบบ 2-Factor จาก SMS หรือสั่งให้โทรศัพท์โทรออกไปยังปลายทางที่ต้องการได้ เป็นต้น

SurfingAttack โจมตีช่องโหว่คุณสมบัติ Nonlinearity ของวงจรไมโครโฟน MEMS (ไมโครโฟนมาตรฐานที่ใช้บนอุปกรณ์สั่งการด้วยเสียงส่วนใหญ่ ประกอบด้วยแผ่นชิ้นส่วนขนาดเล็กเรียกว่าไดอะแฟรม เมื่อถูกคลื่นเสียงกระทบ มันจะแปลงสัญญาณเสียงให้กลายเป็นสัญญาณไฟฟ้า แล้วส่งไป Decode เพื่อให้กลายเป็นคำสั่งสำหรับสั่งการอุปกรณ์ต่อไป) เพื่อส่งคำสั่งในรูปสัญญาณอุลตร้าโซนิก (สัญญาณเสียงความถี่สูงที่มนุษย์ไม่ได้ยิน) โดยใช้ตัวแปลงสัญญาณเพียโซอิเล็กทริค (Piezoelectric Transducer) ที่ติดอยู่กับพื้นผิวของโต๊ะ ที่น่าสนใจคือ การโจมตีสามารถทำงานได้จากระยะไกลถึง 30 ฟุต (ประมาณ 10 เมตร)

นอกจากนี้ นักวิจัยยังได้อำพรางการโจมตีด้วยการเริ่มส่งสัญญาณอุลตร้าโซนิกเพื่อปรับระดับเสียงของอุปกรณ์ลงเพื่ออำพรางการโจมตีและลดความเสี่ยงที่เหยื่อจะรู้ตัว รวมไปถึงติดตั้งอุุปกรณ์ดักฟังเสียงไว้ใต้โต๊ะใกล้กับเหยื่อเพื่อคอยฟังสัญญาณตอบกลับ หลังจากติดตั้งทุกอย่างเรียบร้อยแล้ว สามารถเริ่มการโจมตีด้วยการส่งสัญญาณคำสั่ง “OK Google” หรือ “Hey Siri” เพื่อให้ Voice Assistant เตรียมพร้อมทำงาน จากนั้นส่งคำสั่งโจมตี เช่น “Read my messages” หรือ “Call Sam with speakerphone” โดยใช้ระบบ Text-to-Speech (TTS) ในการแปลงคำสั่งไปเป็นสัญญาณอุุลตร้าโซนิกได้ตามที่ต้องการ

ทีมนักวิจัยได้ทดสอบการโจมตีนี้กับ Voice Assistant บนสมาร์ตโฟนหลายรุ่น เช่น Google Pixel, Apple iPhone, and Samsung Galaxy S9 และ Xiaomi Mi 8 รวมไปถึงโต๊ะที่มีพื้นผิวหลายแบบ อย่างเหล็ก แก้ว หรือไม้ พบว่าสามารถโจมตีสำเร็จได้ทั้งหมด อย่างไรก็ตาม Amazon Echo หรือ Google Home นั้นไม่สามารถโจมตีได้

อ่านงานวิจัยฉบับเต็มได้ที่: https://surfingattack.github.io/papers/NDSS-surfingattack.pdf

ที่มา: https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การ์ทเนอร์ชี้ 6 กลยุทธ์ที่ผู้นำทีม Software Engineering ต้องทราบในปี 2023

การมีกลยุทธ์ถือเป็นเรื่องที่ดีเพราะแนวปฏิบัติเหล่านี้จะช่วยให้องค์กรมีกรอบที่จะเป็นไป ให้อยู่เหนือการเปลี่ยนแปลงของกระแสเทคโนโลยี ในมุมของ Software Engineering การ์ทเนอร์ได้แนะนำ 6 กลยุทธ์ไว้ดังนี้

Sony เร่งสืบสวนการถูกแฮ็ก หลังพบแฮ็กเกอร์อ้างว่าเจาะได้ พร้อมโชว์ไฟล์ตัวอย่าง

สาเหตุของเรื่องคือมีกลุ่มคนร้ายที่ชื่อ RansomedVC ได้แอบอ้างว่าสามารถเจาะระบบของ Sony ได้ พร้อมกับเผยถึงข้อมูลบางส่วน ต่อมามีแฮ็กเกอร์อีกกลุ่มที่อ้างว่าตนนี่แหละตัวจริง พร้อมหลักฐานมากกว่า ในขณะที่ Sony ยังกำลังตรวจสอบคำกล่าวอ้างเหล่านี้อยู่

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand