A Voice Assistantek segítenek a napi házimunkákban – legyen szó időpont egyeztetésről az ügyféllel a zenelejátszáshoz és egyebekhez. A hangasszisztensekkel kapcsolatos piac tele van lehetőségekkel: Google , Siri , Alexa és Bixby . Ezek az asszisztensek hangutasításokkal aktiválhatók, és elvégzik a dolgokat. Például megkérheti Alexát^(Alexa) , hogy játsszon le néhány tetszőleges dalt. Ezeket az eszközöket el lehet téríteni és az eszköz tulajdonosa ellen használhatják fel. Ma az ultrahanghullámokat^(Ultrasound) használó szörfözési támadásokról^{(Surfing Attacks)} és az általuk okozott lehetséges problémákról fogunk tanulni .

Mi az a szörfözési támadás?

Az okoseszközök olyan hangsegédekkel vannak felszerelve, mint a Google Home Assistant , az Alexa az Amazontól^(Amazon) , a Siri az Apple -től és néhány nem túl népszerű hangasszisztens. Sehol nem találtam definíciót az interneten^(Internet) , ezért a következőképpen határozom meg:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Talán már tudja, hogy az emberi fül csak bizonyos frekvenciatartományok (20 Hz és 20 KHz között) érzékeli a hangokat. Ha valaki olyan hangjeleket küld, amelyek kívül esnek az emberi fül hangspektrumán, akkor nem hallja azokat. Ugyanez az ultrahangokkal^{(Ultrasounds)} . A frekvencia túl az emberi fül érzékelésén.

A rosszfiúk elkezdték használni az ultrahanghullámokat^(Ultrasound) a hangutasításokat használó eszközök, például okostelefonok és okosotthonok eltérítésére. Ezek az ultrahanghullámok^(Ultrasound) frekvenciájú hangutasításai meghaladják az emberi érzékelést. Ez lehetővé teszi a hackerek számára, hogy a hangasszisztensek segítségével megszerezzék a kívánt információkat (amelyek a hangvezérelt okoseszközökben vannak tárolva). Erre a célra nem hallható hangokat használnak.

Szörfözési támadások esetén a hackereknek nem kell az okoseszköz látóterében lenniük ahhoz, hogy hangsegédekkel irányítsák azt. Például, ha egy iPhone-t tesznek az asztalra, az emberek azt feltételezik, hogy a hang mozoghat a levegőben, így ha hangutasítás érkezik a levegőben, észrevehetik a hackereket. De ez nem így van, mert a hanghullámoknak csak egy vezetőre van szükségük a terjedéshez.

Tudd^(Know) , hogy a szilárd műtermékek is segíthetik a hang terjedését, amíg rezegnek. A fából készült asztal továbbra is képes hanghullámokat átadni a fán. Ezek az ultrahanghullámok^(Ultrasound) , amelyeket parancsként használnak arra, hogy illegálisan végezzenek dolgokat a célfelhasználók okostelefonjain vagy más okoseszközökön, amelyek hangsegédeket használnak, mint például a Google Home vagy az Alexa .

Olvassa el^(Read) : Mi az a Password Spray Attack ?

Hogyan működnek a szörfözési támadások?

Nem hallható ultrahanghullámok használata, amelyek áthaladhatnak azon a felületen, ahol a gépeket tartják. Például, ha a telefon egy faasztalon van, akkor nem kell mást tenniük, mint egy gépet csatlakoztatni az asztalhoz, amely ultrahanghullámokat tud küldeni szörfözéshez.

Valójában egy eszköz van rögzítve az áldozat asztalához vagy bármilyen felülethez, amelyen a hangasszisztenst pihenteti. Ez az eszköz először az okosasszisztensek hangerejét halkítja le, hogy az áldozatok ne gyanakodjanak semmit. A parancs a táblához csatlakoztatott eszközön keresztül érkezik, és a parancsra adott választ is ugyanaz a gép gyűjti össze, vagy valami más, amely távoli helyen található.

Például kiadható egy parancs, amely így szól: „ Alexa , kérlek olvasd el az SMS - t, amit most kaptam”. Ez a parancs nem hallható a szobában lévők számára. Alexa rendkívül halk hangon olvassa fel az OTP -t (egyszeri jelszót) tartalmazó SMS -t. ^(SMS)Ezt a választ a gépeltérítő eszköz ismét rögzíti, és oda küldi, ahová a hackerek akarják.

Az ilyen támadásokat szörfözési támadásoknak^(Attacks) nevezik . Megpróbáltam minden szakszót eltávolítani a cikkből, hogy még egy nem technikus is megértse ezt a problémát. Haladó olvasáshoz itt van egy link egy kutatási cikkre^{(a link to a research paper)} , amely jobban elmagyarázza.

Olvassa el a következőt^{(Read next)} : Mik azok a Living Off The Land támadások^{(What are Living Off The Land attacks)} ?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voice Assistants help you with daily chores – be it making an appointment with a client to playing music and more. Τhe market related to voіce аssistants is full of options: Google, Siri, Alexa, and Bixby. These assistants are activated using voісe commands and gеt things done. For example, you сan ask Alexa to play some songs of your choice. Thesе devices can be hijacked and used against the ownеr of the device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Related posts

• Siri, Google Asszisztens és Cortana – Három digitális asszisztens összehasonlítása

• A legjobb intelligens csatlakozók 2019-ben, amelyek együttműködnek az Alexával és a Google Home-val

• A Shodan az internethez csatlakozó eszközök keresőmotorja

• A dolgok internete (IoT) – Gyakran Ismételt Kérdések (GYIK)

• Ki birtokolja az IoT-adatokat? Gyártó, végfelhasználó vagy valamilyen harmadik fél?

• Raspberry Pi modul beállítása alapértelmezett beállításokkal

• Javítsa ki a Google Dokumentumok helyesírás-ellenőrzését, amely nem működik megfelelően

• ERR_NAME_NOT_RESOLVED, 105-ös hibakód a Google Chrome-ban

• Hogyan léphet kapcsolatba a Google AdSense-szel e-mailben

• Miért célpontjai az IoT-eszközök, mint például az Amazon Echo, a támadók számára, és hogyan védheti meg magát

• Google Dokumentumok billentyűparancsai Windows 11/10 PC-hez

• Szöveg elforgatása a Google Táblázatok internetes alkalmazásban

• A Google-fájlokra mutató „Másolat készítése” hivatkozások megosztása másokkal

• A Google Drive folyamatosan összeomlik Windows PC-n

• A Google Könyvjelzők legjobb alternatívái, amelyeket érdemes megnézni

• Google Chrome könyvjelzők importálása vagy exportálása HTML-fájlba

• A legjobb számlasablonok a Google Dokumentumokhoz szabadúszóknak, kisvállalkozásoknak

• Böngészési hibaüzenet lépett fel – Google Dokumentumok a Chrome-ban

• A Google Chrome nem válaszol. Újraindítja most?

• Hogyan nyomtathat ki kiválasztott cellákat az Excelben vagy a Google Táblázatokban egy oldalon