ทีมนักวิจัยจาก Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences และ University of Nebraska-Lincoin ออกมาเปิดเผยการโจมตีที่เรียกว่า “SurfingAttack” ซึ่งช่วยให้พวกเขาสามารถส่งคำสั่งโดยใช้คลื่นอุลตร้าโซนิกผ่านวัสดุแข็งเพื่อสื่อสารและเข้าควบคุมระบบ Voice Assistant บนอุปกรณ์สมาร์ตโฟนได้โดยที่เหยื่อไม่รู้ตัว

การโจมตีนี้ใช้ประโยชน์จากคุุณสมบัติของการส่งสัญญาณเสียงผ่านทางวัสดุแข็ง เช่น โต๊ะไม้ เพื่อสร้างการติดต่อสื่อสารระหว่างอุปกรณ์สั่งการด้วยเสียงหรือ Voice Assistant และแฮ็กเกอร์จากระยะไกลโดยไม่จำเป็นต้องอยู่ในแนวสายตา ส่งผลให้แฮ็กเกอร์สามารถสั่งการอุปกรณ์ได้ตามต้องการ ไม่ว่าจะเป็นขโมยรหัสยืนยันตัวตนแบบ 2-Factor จาก SMS หรือสั่งให้โทรศัพท์โทรออกไปยังปลายทางที่ต้องการได้ เป็นต้น
SurfingAttack โจมตีช่องโหว่คุณสมบัติ Nonlinearity ของวงจรไมโครโฟน MEMS (ไมโครโฟนมาตรฐานที่ใช้บนอุปกรณ์สั่งการด้วยเสียงส่วนใหญ่ ประกอบด้วยแผ่นชิ้นส่วนขนาดเล็กเรียกว่าไดอะแฟรม เมื่อถูกคลื่นเสียงกระทบ มันจะแปลงสัญญาณเสียงให้กลายเป็นสัญญาณไฟฟ้า แล้วส่งไป Decode เพื่อให้กลายเป็นคำสั่งสำหรับสั่งการอุปกรณ์ต่อไป) เพื่อส่งคำสั่งในรูปสัญญาณอุลตร้าโซนิก (สัญญาณเสียงความถี่สูงที่มนุษย์ไม่ได้ยิน) โดยใช้ตัวแปลงสัญญาณเพียโซอิเล็กทริค (Piezoelectric Transducer) ที่ติดอยู่กับพื้นผิวของโต๊ะ ที่น่าสนใจคือ การโจมตีสามารถทำงานได้จากระยะไกลถึง 30 ฟุต (ประมาณ 10 เมตร)
นอกจากนี้ นักวิจัยยังได้อำพรางการโจมตีด้วยการเริ่มส่งสัญญาณอุลตร้าโซนิกเพื่อปรับระดับเสียงของอุปกรณ์ลงเพื่ออำพรางการโจมตีและลดความเสี่ยงที่เหยื่อจะรู้ตัว รวมไปถึงติดตั้งอุุปกรณ์ดักฟังเสียงไว้ใต้โต๊ะใกล้กับเหยื่อเพื่อคอยฟังสัญญาณตอบกลับ หลังจากติดตั้งทุกอย่างเรียบร้อยแล้ว สามารถเริ่มการโจมตีด้วยการส่งสัญญาณคำสั่ง “OK Google” หรือ “Hey Siri” เพื่อให้ Voice Assistant เตรียมพร้อมทำงาน จากนั้นส่งคำสั่งโจมตี เช่น “Read my messages” หรือ “Call Sam with speakerphone” โดยใช้ระบบ Text-to-Speech (TTS) ในการแปลงคำสั่งไปเป็นสัญญาณอุุลตร้าโซนิกได้ตามที่ต้องการ
ทีมนักวิจัยได้ทดสอบการโจมตีนี้กับ Voice Assistant บนสมาร์ตโฟนหลายรุ่น เช่น Google Pixel, Apple iPhone, and Samsung Galaxy S9 และ Xiaomi Mi 8 รวมไปถึงโต๊ะที่มีพื้นผิวหลายแบบ อย่างเหล็ก แก้ว หรือไม้ พบว่าสามารถโจมตีสำเร็จได้ทั้งหมด อย่างไรก็ตาม Amazon Echo หรือ Google Home นั้นไม่สามารถโจมตีได้
อ่านงานวิจัยฉบับเต็มได้ที่: https://surfingattack.github.io/papers/NDSS-surfingattack.pdf
ที่มา: https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html