Black Hat Asia 2021

นักวิจัยพบวิธีใหม่ในการโจมตี Alexa และ Google Home Assistants

ทีมนักวิจัยชาวจีนและสหรัฐอเมริกาได้ร่วมกันตีพิมพ์งานวิจัยที่ได้ศึกษาเกี่ยวกันการโจมตีด้วยเสียงกับความสามารถจาก Alexa และ Google Home ที่มีการรับคำสั่งด้วยเสียงโดยให้ชื่อการโจมตีว่า ‘Voice Squatting’ โดยไอเดียคือการหลอกให้ผู้ใช้งานเปิดแอปที่มีเสียงคล้ายกันและอาจจะใช้แอปอันตรายเก็บข้อมูลอื่นได้

Voice Squatting ที่นักวิจัยทดลองนั้นเพราะทาง Amazon และ Google เปิดให้นักวิจัยสามารถเข้ามาลงทะเบียนแอปช่วยเหลือทางเสียงที่คล้ายกันได้ (ทาง Amazon เรียกว่า ‘Skills‘ ฝั่ง Google เรียกว่า ‘Actions‘) ตัวอย่างเช่น คำว่า ‘open capital won’ และ ‘open capital one’ ซึ่งเป็นคำสั่งเปิดแอปการธนาคาร จะเห็นได้ว่ามีความเหมือนของเสียงอยู่ ดังนั้นถ้าเรียกผิดก็อาจจะเปิดแอปอันตรายขึ้นมาได้ อย่างไรก็ตามมันใช้ได้ดีกับผู้ใช้ภาษาที่ไม่ใช้เจ้าของภาษาหรือสภาวะแวดล้อมที่มีเสียงรบกวนมากเท่านั้น สามารถชมวีดีโอการโจมตีกับ Alexa และ Google Home ได้จากด้านล่าง

นอกจากนี้ในงานยังมีวิธีการโจมตีอย่าง ‘Voice Masquerading’ ปรากฏในงานวิจัยด้วย แต่มันก็ไม่ใช้เรื่องใหม่เนื่องจากเคยมีการเผยการโจมตีลักษณะนี้แล้ว โดยไอเดียก็คือทำให้แอปพลิเคชันสามารถรับคำสั่งได้นานขึ้นโดยที่ผู้ใช้งานไม่รู้ตัวว่ามันยังไม่จบการทำงานและเมื่อผู้ใช้คาดหวังแอปอื่นๆ ด้วยการออกคำสั่งใหม่แอปอันตรายก็ยังได้ข้อมูลของผู้ใช้งานและสามารถตอบสนองความต้องการในเวอร์ชันของตนได้ด้วย ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่ “Understanding and Mitigation the Security Risks of Voice-Controlled Third-Party Skills on Amazon Alex and Google Home

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] พบนวัตกรรมใหม่จาก Cloudflare – Cloudflare One

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Cloudflare Webinar เรื่อง “พบนวัตกรรมใหม่จาก Cloudflare – Cloudflare One” บริการ Secure Access Service Edge (SASE) …

[Video Webinar] บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA โดย SAS Software (Thailand)

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย SAS Webinar เรื่อง “บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA” พร้อมแนะนำเทคนิคการทำ Data Governance และ Data Privacy ของทั้งพนักงานและลูกค้า ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ