Шестеро исследователей из Чжэцзянского университета представили концепт (PDF) необычной атаки DolphinAttack, на которую их вдохновили... дельфины. Исследователи предложили незаметно контролировать голосовых помощников с помощью частот, которые не различает человеческое ухо. При этом речь идет не только о голосовых помощниках Siri, Alexa, Cortana и Google, но о любых системах такого рода, к примеру, распознавание голосовых команд применяется во многих современных автомобилях.
По словам специалистов, преобразовать обычные голосовые команды в ультразвук не так уж трудно. Атакующему понадобится оборудование общей стоимостью $3, и собрать все необходимое можно из готовых компонентов, доступных в магазинах электроники. В итоге находящиеся рядом с атакующим люди ничего не услышат, тогда как гаджеты распознают команды как ни в чем не бывало.
Специалисты протестировали свою идею на ассистентах Alexa, Cortana, Google Now, Huawei HiVoice, Samsung S Voice и Siri, а также 16 платформах и устройствах, использующих данное ПО (смартфоны, компьютеры, автомобили, «умные» дома). Тестирование включало в себя запуск Facetime на iPhone, проигрывание музыки на Amazon Echo и управление системой навигации в автомобилях Audi. Видеоролик ниже демонстрирует DolphinAttack и работоспособность «бесшумных» команд в действии.
Атаку тестировали на частоте от 25 до 39 кГц, и она показала стабильный результат на расстоянии 1,75 метра. Специалисты предупреждают, что на эффективность DolphinAttack могут влиять язык, на котором устройству передаются команды, а также уровень фоновых шумов.
Исследователи пишут, что при помощи DolphinAttack можно осуществлять и более опасные действия, к примеру, заставить браузер пользователя посетить вредоносный сайт, установить на устройство вредоносное приложение, подписать жертву на платный сервис, инициировать голосовой вызов и подслушивать все разговоры цели, и так далее.
Для защиты от подобных атак специалисты рекомендуют производителям систем распознавания речи ограничивать свои продукты 20 кГц и игнорировать любые частоты, превышающие это значение. К сожалению, компании вряд ли прислушаются к мнению экспертов в данном вопросе, ведь давно известно, что ультразвуковые «маячки» представляют для рынка слишком большой интерес. К примеру, можно внедрять специальные ультразвуковые сигналы, которые не различает человеческое ухо, в рекламные ролики, которые проигрываются по ТВ или на радио. Точно так же ультразвуковой «маячок» может быть внедрен и в сетевую рекламу, которую воспроизводит ПК или мобильное устройство, или может использоваться в магазинах в оффлайне.