Không chỉ có smartphone, các thiết bị như laptop hay ứng dụng Smart Home giờ đây đều được trang bị tính năng nhận diện giọng nói như Siri, Alexa, Google Now. Những trợ lý ảo này tuy rất tiện lợi và hữu dụng nhưng lại chính là một lỗ hổng để các hacker lợi dụng.
Đội ngũ nghiên cứu về bảo mật tại đại học Chiết Giang, Trung Quốc vừa tìm ra được cách lợi dụng một lỗ hổng rất thông dụng để kích hoạt tính năng nhận diện giọng nói trên các thiết bị điện tử. Từ đó, họ có thể tấn công hệ thống thông qua các trợ lý ảo như Siri, Google Now và nắm quyển kiểm soát một số tính năng quan trọng.
Phương pháp tấn công này có tên gọi là DolphinAttack (nguồn gốc xuất phát từ khả năng phát sóng siêu âm để định vị của cá heo). Bằng cách phát ra các mệnh lệnh ở tần số siêu âm, phương pháp này hoàn toàn có thể kích hoạt tính năng nhận diện giọng nói trên các thiết bị mà nạn nhân không hề hay biết gì.
DolphinAttack đều có thể tấn công thiết bị khi chương trình nhận diện giọng nói được hay không được kích hoạt
Nhờ việc tận dụng lỗ hổng, hacker có thể nắm quyền kiểm soát của Siri, Alexa cùng các trợ lý ảo khác và sử dụng thiết bị của nạn nhân để truy cấp các trang web có mã nguồn độc hại hay điều khiển các thiết bị trong gia đình nếu thiết bị của nạn nhân có kết nối với các vật dụng khác. Phương pháp tấn công này hoạt động trên mọi nền tảng nhận diện giọng nói nên bất kể iOS, Android hay Windows, thiết bị của bạn đều đang gặp nguy cơ bị xâm nhập.
Con người chỉ có thể nghe thấy được các âm thanh ở tần số trong khoảng từ 16Hz đến 20kHz. Tuy nhiên, microphone của các thiết bị hiện nay đều có thể thu được các âm thanh ở tần số trên 20kHz. Đội ngũ nghiên cứu đã chuyển hóa các mệnh lệnh từ giọng nói sang sóng siêu âm và phát lại thông qua một smartphone có kết nối với một amplifier, bộ chuyển đổi sóng siêu âm và pin. Toàn bộ những bộ phận trên có giá tổng cộng chỉ 3 USD.
Sau khi chuyển hóa giọng nói sang sóng siêu âm, đội ngũ nghiên cứu chỉ cần một chiếc Galaxy S6 Edge, amplifier, bộ chuyển đổi sóng siêu âm và pin để có thể tiến hành DolphinAttack
Trong quá trình thử nghiệm, đội ngũ nghiên cứu đã có thể khiến cho một chiếc iPhone gọi vào một số chỉ định, truy cập trang web "dolphinattack.com" trên Macbook và Nexus 7, thậm chí còn có thể thay đổi hệ thống định vị và chỉ đường trên xe Audi Q3.
Các thiết bị như iPhone, iPad, laptop hay thậm chỉ cả xe ô tô đều có thể bị xâm nhập. "Hey Siri" cũng có thể được phát dưới dạng sóng siêu âm để kích hoạt Siri trên các thiết bị.
Dưới đây là các khả năng tấn công của DolphinAttack:
Truy cập trang web có mã độc
Theo dõi nạn nhân bằng cách gọi điện hay video call
Đưa thông tin giả vào thiết bị
Bật Airplane mode và cô lập thiết bị
Giảm âm lượng của thiết bị và độ sáng của màn hình để "ngụy trang" cho quá trình tấn công
Sóng siêu âm được sử dụng trong bài thử nghiệm có tần số từ 25 đến 32kHz và khoảng cách hoạt động tối đa lên tới 1,75m, hoàn toàn phù hợp trong thực tế. DolphinAttack hoạt động trên 16 thiết bị và 7 hệ thống khác nhau, bao gồm smartphone, iPad, Macbook, Amazon Echo và Audi Q3.
Danh sách các thiết bị trong bài thử nghiệm kèm theo tần số của sóng siêu âm và khoảng cách hoạt động.
Nếu trợ lý ảo trên thiết bị của bạn không được tắt đi, phương pháp này hoàn toàn có thể xâm nhập vào hệ thống. Tuy rất lợi hại nhưng DolphinAttack không thể kích hoạt microphone trên mọi thiết bị nên để phòng ngừa khả năng bị tấn công, bạn nên tắt Siri, Cortana, Alexa, Google Home hay các chương trình trợ lý ảo và chờ các bản cập nhất tiếp theo để có thể bảo vệ thông tin trên máy.
bạn có thể tham khảo thêm thông tin ở tài liệu gốc (bằng tiếng Anh) tại đây cùng video giải thích ở phía dưới.
Mời bạn tham gia group Facebook của Sforum.vn cùng
nhau trao đổi, thảo luận các thông tin hot về thị
trường công nghệ Việt Nam, tham gia ngay
tại: Sforum – Sunsee
Tech.
Smember
0 Hỏi đáp