Cep telefonlarındaki sesli asistanların çoğu henüz "akıllı" olmasa da, bazı senaryolarda bazı "komut tipi" işlemleri tamamlamak fazlasıyla yeterlidir: her şeyi iki elinizle tutun, aramayı çevirmeye yardımcı olması için Siri'yi uyandırın; yatmadan önce geçin Siri, ışıkları kapatmak vb. İçin talimatlar verir.
Ancak, genellikle hayatımıza kolaylık katan bu ses asistanlarının yanlışlıkla "sızdıran" olabileceğini hiç düşündünüz mü?
St. Louis'deki Washington Üniversitesi'nden araştırmacılar kısa süre önce "SurfingAttack" adlı bir ultrasonik saldırı yöntemini açıkladılar. Bu yöntem, komut bilgilerini taşıyan ultrasonik dalgaları bir cep telefonuna yerleştirilmiş bir masa veya başka bir katı gövde aracılığıyla ileterek bir ses asistanını kontrol etme etkisini elde etti.
İnsanın işitme frekansı 20Hz-20000Hz arasındadır 20000Hz'den yüksek ultrasonik dalgalar genellikle insan kulağı tarafından algılanamaz, ancak cep telefonunun mikrofonu bu ses dalgalarını alıp işleyebilir.Bu, "SurfingAttack" ın başarılı olmasının nedenlerinden biridir. Ek olarak, bu tür bir saldırı, cep telefonlarıyla temas halinde olan masalar veya diğer katı yüzeyler aracılığıyla akustik sinyalleri iletecek ve bu sinyallerin algılanma olasılığını daha da azaltacaktır.
"Ses sinyallerini nasıl işleyeceğinizi biliyorsanız, onları manipüle edebilirsiniz, böylece cep telefonu bu işlenmiş ses dalgalarını aldığında, cihaz bunun insanların verdiği emir olduğunu düşünecektir." Bu çalışmanın sonuçlarını yayınlayan araştırmacı Tanıtıldı.
Videoda, araştırmacılar bir "SurfingAttack" ın nasıl başlatılacağını gösterdiler: yalnızca, bilgisayarda kodu girdikten sonra, masaya yerleştirilen cep telefonunu çok geçmeden uyandırdıklarını ve cep telefonunun komut bilgilerini ses asistanı aracılığıyla başarıyla yürütmesine izin verdiklerini gördüler. Çekim yapmak vb. İçin ön kamerayı kullanın. Mesajları okumak veya telefon görüşmeleri yapmak için sesli asistanı kullanan araştırmacılar, "SurfingAttack" aracılığıyla SMS doğrulama kodlarını bile alabilir veya diğer özel bilgileri elde etmek için hileli aramalar yapabilirler.
Araştırmacılar Google Pixel 3, Samsung Galaxy S9, iPhone X, Xiaomi 8, Huawei Honor 10, Motorola G5 ve diğer 17 popüler modeli kullandığından "SurfingAttack" ın çoğu cep telefonu için evrensel olabileceğini belirtmekte fayda var. Her ikisi de başarıyla saldırı başlattı.
Ancak bu, telefonunuz masadaysa ve kilidi açılmışsa, bilgisayar korsanlarının bu şekilde cihazdaki hassas verileri sessizce elde edebileceği anlamına mı geliyor?
Aslında, "SurfingAttack" i başlatmak, ultrasonik vericiler, piezoelektrik dönüştürücüler ve gizli mikrofonlar dahil olmak üzere donanım ve yazılımın koordinasyonunu gerektirir, bu da bir saldırı başlatmanın maliyetini ve eşiğini yükseltir. Araştırmacılar, "SurfingAttack" ın günlük hayatta sık kullanılmayacağı görüşünü de dile getirerek, "Bu tür saldırıları günlük durumlarda sık göreceğimizi sanmıyorum ancak hedefli saldırılar için kullanılabilir.
Ancak "SurfingAttack" in uygulanabilirliğinden dolayı, bu özelliği bir saldırı başlatmak için gerçekten kullanmak isteyen gerçekten suçlular varsa, başarı oranını artırmak için daha taşınabilir bir saldırı cihazı geliştirmek imkansız değildir. Bu nedenle, daha iyi bir önleme yöntemi, telefonu kullandıktan sonra ekranı kilitlemek ve kilitli durumda sesli asistanın yetkisini azaltmaktır.
Elbette, telefonu sadece masanın üstüne koymayın, bir cebe veya başka bir kumaş yüzeyine koyun, çünkü ultrasonik dalgalar yumuşak bir kumaş yüzeyinden geçtikten sonra yüksek doğruluğu garanti edemez.