SUSE by Ingram

SurfingAttack: แฮ็ก Voice Assistant บนสมาร์ตโฟนด้วยคลื่นอุลตร้าโซนิก

ทีมนักวิจัยจาก Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences และ University of Nebraska-Lincoin ออกมาเปิดเผยการโจมตีที่เรียกว่า “SurfingAttack” ซึ่งช่วยให้พวกเขาสามารถส่งคำสั่งโดยใช้คลื่นอุลตร้าโซนิกผ่านวัสดุแข็งเพื่อสื่อสารและเข้าควบคุมระบบ Voice Assistant บนอุปกรณ์สมาร์ตโฟนได้โดยที่เหยื่อไม่รู้ตัว

การโจมตีนี้ใช้ประโยชน์จากคุุณสมบัติของการส่งสัญญาณเสียงผ่านทางวัสดุแข็ง เช่น โต๊ะไม้ เพื่อสร้างการติดต่อสื่อสารระหว่างอุปกรณ์สั่งการด้วยเสียงหรือ Voice Assistant และแฮ็กเกอร์จากระยะไกลโดยไม่จำเป็นต้องอยู่ในแนวสายตา ส่งผลให้แฮ็กเกอร์สามารถสั่งการอุปกรณ์ได้ตามต้องการ ไม่ว่าจะเป็นขโมยรหัสยืนยันตัวตนแบบ 2-Factor จาก SMS หรือสั่งให้โทรศัพท์โทรออกไปยังปลายทางที่ต้องการได้ เป็นต้น

SurfingAttack โจมตีช่องโหว่คุณสมบัติ Nonlinearity ของวงจรไมโครโฟน MEMS (ไมโครโฟนมาตรฐานที่ใช้บนอุปกรณ์สั่งการด้วยเสียงส่วนใหญ่ ประกอบด้วยแผ่นชิ้นส่วนขนาดเล็กเรียกว่าไดอะแฟรม เมื่อถูกคลื่นเสียงกระทบ มันจะแปลงสัญญาณเสียงให้กลายเป็นสัญญาณไฟฟ้า แล้วส่งไป Decode เพื่อให้กลายเป็นคำสั่งสำหรับสั่งการอุปกรณ์ต่อไป) เพื่อส่งคำสั่งในรูปสัญญาณอุลตร้าโซนิก (สัญญาณเสียงความถี่สูงที่มนุษย์ไม่ได้ยิน) โดยใช้ตัวแปลงสัญญาณเพียโซอิเล็กทริค (Piezoelectric Transducer) ที่ติดอยู่กับพื้นผิวของโต๊ะ ที่น่าสนใจคือ การโจมตีสามารถทำงานได้จากระยะไกลถึง 30 ฟุต (ประมาณ 10 เมตร)

นอกจากนี้ นักวิจัยยังได้อำพรางการโจมตีด้วยการเริ่มส่งสัญญาณอุลตร้าโซนิกเพื่อปรับระดับเสียงของอุปกรณ์ลงเพื่ออำพรางการโจมตีและลดความเสี่ยงที่เหยื่อจะรู้ตัว รวมไปถึงติดตั้งอุุปกรณ์ดักฟังเสียงไว้ใต้โต๊ะใกล้กับเหยื่อเพื่อคอยฟังสัญญาณตอบกลับ หลังจากติดตั้งทุกอย่างเรียบร้อยแล้ว สามารถเริ่มการโจมตีด้วยการส่งสัญญาณคำสั่ง “OK Google” หรือ “Hey Siri” เพื่อให้ Voice Assistant เตรียมพร้อมทำงาน จากนั้นส่งคำสั่งโจมตี เช่น “Read my messages” หรือ “Call Sam with speakerphone” โดยใช้ระบบ Text-to-Speech (TTS) ในการแปลงคำสั่งไปเป็นสัญญาณอุุลตร้าโซนิกได้ตามที่ต้องการ

ทีมนักวิจัยได้ทดสอบการโจมตีนี้กับ Voice Assistant บนสมาร์ตโฟนหลายรุ่น เช่น Google Pixel, Apple iPhone, and Samsung Galaxy S9 และ Xiaomi Mi 8 รวมไปถึงโต๊ะที่มีพื้นผิวหลายแบบ อย่างเหล็ก แก้ว หรือไม้ พบว่าสามารถโจมตีสำเร็จได้ทั้งหมด อย่างไรก็ตาม Amazon Echo หรือ Google Home นั้นไม่สามารถโจมตีได้

อ่านงานวิจัยฉบับเต็มได้ที่: https://surfingattack.github.io/papers/NDSS-surfingattack.pdf

ที่มา: https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รายงานเผย พบ Malware ที่พัฒนาด้วยภาษา Go เพิ่มขึ้นเกือบ 20 เท่านับแต่ปี 2017

Intezer ผู้พัฒนาโซลูชันด้านการรักษาความมั่นคงปลอดภัยบน Cloud ได้ออกมาเผยในรายงาน Year of the Gopher: 2020 Go Malware Round-Up ว่าในปี 2020 พบการใช้ภาษา Go ในการพัฒนา Malware มากขึ้นถึงเกือบ 2,000% เมื่อเทียบกับปี 2017

ผลสำรวจชี้ องค์กรทำ DevOps เพิ่มขึ้นเกือบ 2 เท่าใน 5 ปีที่ผ่านมา

RedGate Software ผู้เชี่ยวชาญทางด้านข้อมูลได้ออกมาเผยถึงรายงาน 2021 State of Database DevOps ที่ได้ทำการสำรวจข้อมูลจากผู้ตอบแบบสอบถามกว่า 8,000 คนใน 3,200 องค์กรถึงประเด็นด้านการทำ DevOps ในองค์กร, ผลกระทบจาก COVID-19 ต่อฝ่าย IT และ DevOps และแนวโน้มการใช้เทคโลยีสำหรับ Database DevOps พบประเด็นที่น่าสนใจดังนี้