Французы из Национального агентства безопасности информационных систем (ANSSI) обнаружили баг, при помощи которого хакер может удаленно перехватить контроль над голосовым ассистентом Siri или Google Now, а через них и над самим устройством. Для этого достаточно находиться на расстоянии пяти метров от жертвы и посылать определенный радиосигнал.

Для осуществления атаки такого рода есть одно обязательное условие – в разъем для наушников на устройстве жертвы должны быть подключены, собственно, наушники. Все дело именно в этом. Исследователи обнаружили, что неэкранированный кабель наушников или гарнитуры отлично выполняет функцию антенны.

Французы пишут, что атакующий может передавать беззвучные сигналы iOS или Android-устройству, находясь неподалеку от жертвы. Таким образом виртуального помощника можно заставить поверить в то, что это голосовые команды, поступившие через микрофон, и их нужно выполнить. Так как вводить PIN-код и авторизоваться, используя голосовое управление, не нужно, устройство жертвы, в итоге, можно заставить сделать многое. Можно совершить звонок, отправить текстовое сообщение, зайти на вредоносный веб-сайт, разослать фишинговые или спамерские сообщения всем контактам в Facebook, Twitter или просто по почте.

«Представьте себе людный бар в аэропорту, — рассказал изданию Wired глава ANSSI Винсент Штрубель (Vincent Strubel). — Электромагнитные волны могут заставить множество смартфонов одновременно позвонить на платный номер».

На самом деле, такой трюк можно проделать и с расстояния более пяти метров. Но для этого атакующему потребуется иметь при себе более мощный и громоздкий аккумулятор. С таким можно передвигаться только на машине. Для осуществления атаки с более скромным «радиусом поражения», понадобится лишь простейшее оборудование, которое можно легко уместить в рюкзаке: ноутбук, радиоприемник, усилитель сигнала и антенна.

Исследователи выложили в сеть видеодемонстрацию эксплуатации бага:

Защититься от подобной атаки можно отключив функцию голосового помощника при активном экране блокировки.

Фото: gigaom



2 комментария

  1. Jeffrey Davis

    16.10.2015 at 11:45

    Голосовое управление — это для безруких инвалидов.
    Не нужно оно, в принципе.

Оставить мнение