Amerikalı Üniversite araştırmacıları, akıllı telefonlar, akıllı hoparlörler ve diğer IOT'lar gibi ses asistanları tarafından desteklenen cihazlara karşı sessiz saldırılar başlatabilen "Near-Urtrasound Inwening Inwening Trulak" adlı yeni bir saldırı geliştirdiler.
Araştırmacılar ekibi, San Antonio'daki (UTSA) Texas Üniversitesi'nden Profesör Guenevere Chen, doktora öğrencisi Qi Xia ve Colorado Üniversitesi'nden Profesör Shouhuai Xu'dan (UCCS) oluşuyor.
Ekip, Apple'ın Siri, Google'ın asistanı, Microsoft'un Cortana ve Amazon'un Alexa da dahil olmak üzere milyonlarca cihaz içinde bulunan modern ses asistanlarına karşı NUIT saldırıları gösterdi.
NUIT'i etkili ve tehlikeli kılan ana prensip, akıllı cihazlardaki mikrofonların, insan kulağının yapamayacağı neredeyse ultrason dalgalarına yanıt verebilmesidir, böylece saldırıyı geleneksel hoparlör teknolojisini kullanırken minimum maruz kalma riski ile gerçekleştirir.
USTA'nın sitesindeki bir yazıda Chen, Nuit'in medya veya YouTube videoları oynayan web sitelerine dahil edilebileceğini açıkladı, bu nedenle bu siteleri ziyaret etmek için hedefleri kandırmak veya güvenilir sitelerde kötü niyetli medya oynamak nispeten basit bir sosyal mühendislik örneğidir.
Araştırmacılar, NUIT saldırılarının iki farklı yöntem kullanılarak gerçekleştirilebileceğini söylüyor.
İlk yöntem olan NUIT-1, bir cihazın saldırının hem kaynağı hem de hedefi olduğu zamandır. Örneğin, bir akıllı telefonda, cihazın bir garaj kapısı açmak veya kısa mesaj göndermek gibi bir eylem gerçekleştirmesine neden olan bir ses dosyası çalarak bir saldırı başlatılabilir.
Diğer yöntem olan Nuit-2, saldırının, bir web sitesi gibi akıllı bir hoparlöre olan mikrofonlu başka bir cihaza hoparlörle bir cihaz tarafından başlatıldığı zamandır.
"Akıllı TV'nizde YouTube oynarsanız, bu akıllı TV'nin bir hoparlör var, değil mi? NUIT kötü niyetli komutlarının sesi duyulmaz ve cep telefonunuza da saldırabilir ve Google Asistanınız veya Alexa cihazlarınızla iletişim kurabilir." . Chen.
"Toplantılar sırasında yakınlaştırmada bile olabilir. Birisi kendilerini sessizleştirdiyse, toplantı sırasında bilgisayarınızın yanına yerleştirilen telefonunuzu kesmek için saldırı sinyalini gömebilirler."
Chen, NUIT'in başlatıldığı hoparlörün, saldırının işe yaraması için belirli bir hacim seviyesinin üzerine ayarlanması gerektiğini, kötü niyetli komutların sadece 0,77 saniye sürdüğünü açıkladı.
"Akıllı TV'nizde YouTube oynarsanız, bu akıllı TV'nin bir hoparlör var, değil mi? NUIT kötü niyetli komutlarının sesi duyulmaz ve cep telefonunuza da saldırabilir ve Google Asistanınız veya Alexa cihazlarınızla iletişim kurabilir." . Chen.
"Toplantılar sırasında yakınlaştırmada bile olabilir. Birisi kendilerini sessizleştirdiyse, toplantı sırasında bilgisayarınızın yanına yerleştirilen telefonunuzu kesmek için saldırı sinyalini gömebilirler."
Chen, NUIT'in başlatıldığı hoparlörün, saldırının işe yaraması için belirli bir hacim seviyesinin üzerine ayarlanması gerektiğini, kötü niyetli komutların sadece 0,77 saniye sürdüğünü açıkladı.
Araştırmacılar tarafından gösterilen saldırı senaryoları, akıllı telefona bağlı IOT'lara, kapıların kilidini açmak veya ev alarmlarını devre dışı bırakmak gibi komutlar göndermeyi içeriyor ve kurbanın bu etkinliğin gerçekleştiğini fark etmesi çok az.
Bununla birlikte, akıllı asistanlar web siteleri açma gibi eylemler de gerçekleştirebildiğinden, saldırganlar akıllı telefonları, kurban tarafından etkileşime girmeden tarayıcındaki bir güvenlik açığından yararlanarak cihaza kötü amaçlı yazılımları bırakmak için kullanılabilecek "sulama deliği" web sitelerine götürebilir.
Araştırmacılar, ses asistanlarını çalıştıran 17 popüler cihazı test ettiler ve hedefin sesini komutları kabul etmek için taklit etmesini veya çalmasını gerektiren Apple Siri hariç, herhangi bir ses kullanarak, hatta robot tarafından oluşturulan herhangi bir ses kullanarak sahip olduklarını buldular.
Bu nedenle, vokal parmak izinizi kullanarak akıllı cihazınızda kimlik doğrulaması yapabiliyorsanız, bu ek güvenlik yöntemini etkinleştirmeniz önerilir.
Chen ayrıca, kullanıcıların iOS ve Android akıllı telefonlarda ekranda göstergelere sahip mikrofon aktivasyonları için cihazlarını yakından izlemelerini tavsiye etti.
Son olarak, bir şey dinlemek veya ses yayınlamak için hoparlörler yerine kulaklık kullanmak NUIT veya benzer saldırılara karşı etkili bir şekilde korunur.
NIT saldırısının tüm detayları, 9 ve 11 Ağustos 2023 için planlanan 32. Usenix Güvenlik Sempozyumu'nda ABD, Anaheim, CA, ABD'deki Anaheim Marriott'ta sunulacak.
US NIST, IoT veri koruması için Kazanan Şifreleme Algoritmasını Açıklar
Kaynak: Bleeping Computer