Breaking News
AMR | Citrix Webinar: The Next New Normal

SurfingAttack: แฮ็ก Voice Assistant บนสมาร์ตโฟนด้วยคลื่นอุลตร้าโซนิก

ทีมนักวิจัยจาก Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences และ University of Nebraska-Lincoin ออกมาเปิดเผยการโจมตีที่เรียกว่า “SurfingAttack” ซึ่งช่วยให้พวกเขาสามารถส่งคำสั่งโดยใช้คลื่นอุลตร้าโซนิกผ่านวัสดุแข็งเพื่อสื่อสารและเข้าควบคุมระบบ Voice Assistant บนอุปกรณ์สมาร์ตโฟนได้โดยที่เหยื่อไม่รู้ตัว

การโจมตีนี้ใช้ประโยชน์จากคุุณสมบัติของการส่งสัญญาณเสียงผ่านทางวัสดุแข็ง เช่น โต๊ะไม้ เพื่อสร้างการติดต่อสื่อสารระหว่างอุปกรณ์สั่งการด้วยเสียงหรือ Voice Assistant และแฮ็กเกอร์จากระยะไกลโดยไม่จำเป็นต้องอยู่ในแนวสายตา ส่งผลให้แฮ็กเกอร์สามารถสั่งการอุปกรณ์ได้ตามต้องการ ไม่ว่าจะเป็นขโมยรหัสยืนยันตัวตนแบบ 2-Factor จาก SMS หรือสั่งให้โทรศัพท์โทรออกไปยังปลายทางที่ต้องการได้ เป็นต้น

SurfingAttack โจมตีช่องโหว่คุณสมบัติ Nonlinearity ของวงจรไมโครโฟน MEMS (ไมโครโฟนมาตรฐานที่ใช้บนอุปกรณ์สั่งการด้วยเสียงส่วนใหญ่ ประกอบด้วยแผ่นชิ้นส่วนขนาดเล็กเรียกว่าไดอะแฟรม เมื่อถูกคลื่นเสียงกระทบ มันจะแปลงสัญญาณเสียงให้กลายเป็นสัญญาณไฟฟ้า แล้วส่งไป Decode เพื่อให้กลายเป็นคำสั่งสำหรับสั่งการอุปกรณ์ต่อไป) เพื่อส่งคำสั่งในรูปสัญญาณอุลตร้าโซนิก (สัญญาณเสียงความถี่สูงที่มนุษย์ไม่ได้ยิน) โดยใช้ตัวแปลงสัญญาณเพียโซอิเล็กทริค (Piezoelectric Transducer) ที่ติดอยู่กับพื้นผิวของโต๊ะ ที่น่าสนใจคือ การโจมตีสามารถทำงานได้จากระยะไกลถึง 30 ฟุต (ประมาณ 10 เมตร)

นอกจากนี้ นักวิจัยยังได้อำพรางการโจมตีด้วยการเริ่มส่งสัญญาณอุลตร้าโซนิกเพื่อปรับระดับเสียงของอุปกรณ์ลงเพื่ออำพรางการโจมตีและลดความเสี่ยงที่เหยื่อจะรู้ตัว รวมไปถึงติดตั้งอุุปกรณ์ดักฟังเสียงไว้ใต้โต๊ะใกล้กับเหยื่อเพื่อคอยฟังสัญญาณตอบกลับ หลังจากติดตั้งทุกอย่างเรียบร้อยแล้ว สามารถเริ่มการโจมตีด้วยการส่งสัญญาณคำสั่ง “OK Google” หรือ “Hey Siri” เพื่อให้ Voice Assistant เตรียมพร้อมทำงาน จากนั้นส่งคำสั่งโจมตี เช่น “Read my messages” หรือ “Call Sam with speakerphone” โดยใช้ระบบ Text-to-Speech (TTS) ในการแปลงคำสั่งไปเป็นสัญญาณอุุลตร้าโซนิกได้ตามที่ต้องการ

ทีมนักวิจัยได้ทดสอบการโจมตีนี้กับ Voice Assistant บนสมาร์ตโฟนหลายรุ่น เช่น Google Pixel, Apple iPhone, and Samsung Galaxy S9 และ Xiaomi Mi 8 รวมไปถึงโต๊ะที่มีพื้นผิวหลายแบบ อย่างเหล็ก แก้ว หรือไม้ พบว่าสามารถโจมตีสำเร็จได้ทั้งหมด อย่างไรก็ตาม Amazon Echo หรือ Google Home นั้นไม่สามารถโจมตีได้

อ่านงานวิจัยฉบับเต็มได้ที่: https://surfingattack.github.io/papers/NDSS-surfingattack.pdf

ที่มา: https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] เราคิดไกลพอหรือยัง กับการคิดให้ไกลกว่าโรคระบาด

แม้ยังเป็นประเด็นถกเถียงกันอยู่ว่า เรายังอยู่ในช่วงเริ่มต้นของการทำความเข้าใจผลพวงจากการระบาดของโควิด-19 ในระยะกลางและระยะยาว แต่ก็เป็นไปได้ว่าในอนาคตธุรกิจส่วนใหญ่จะต้องพิจารณา ถึงการเปลี่ยนแปลงในสาระสำคัญของกลยุทธ์ รูปแบบธุรกิจ และการดำเนินการต่างๆ ของตนเองด้วย ดูเหมือนว่าบรรดานักวิเคราะห์ต่างเห็นพ้องกันมากขึ้นเรื่อยๆ ว่าธุรกิจในอุตสาหกรรมต่างๆ จะต้องกลับมาครองตลาด ส่วนแบ่ง และลูกค้าได้อีกครั้ง การจะทำให้สำเร็จได้นั้น จำเป็นต้องอาศัยนวัตกรรมที่เร็วขึ้นและการตลาดที่ดียิ่งขึ้น …

NTT แจ้งเหตุ Security Breach

Nippon Telegraph&Telephone (NTT) บริษัทยักษ์ใหญ่ของญี่ปุ่นได้ออกมาเปิดเผยเหตุถูกโจมตี โดยคนร้ายสามารถลอบเข้าไปขโมยข้อมูลของลูกค้า 621 รายของบริษัทในเครือ NTT Communications