Asystenci Głosowi pomagają w codziennych obowiązkach – czy to umawianiu się z klientem na odtwarzanie muzyki i nie tylko. Rynek związany z asystentami głosowymi jest pełen opcji: Google , Siri , Alexa i Bixby . Asystenci są aktywowani za pomocą poleceń głosowych i wykonują swoje zadania. Na przykład możesz poprosić Alexę^(Alexa) o odtworzenie wybranych przez Ciebie utworów. Te urządzenia mogą zostać przejęte i użyte przeciwko właścicielowi urządzenia. Dzisiaj dowiemy się o atakach surfowania^{(Surfing Attacks)} z wykorzystaniem fal ultradźwiękowych^(Ultrasound) i potencjalnych problemach, jakie stwarzają.

Co to jest atak surfingowy?

Inteligentne urządzenia są wyposażone w asystentów głosowych, takich jak Google Home Assistant , Alexa od Amazona^(Amazon) , Siri od Apple i niektórych niezbyt popularnych asystentów głosowych. Nie mogłem znaleźć żadnej definicji nigdzie w Internecie^(Internet) , więc definiuję ją następująco:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Być może już wiesz, że ludzkie uszy mogą odbierać dźwięki tylko w zakresie częstotliwości (20 Hz do 20 kHz. Jeśli ktoś wysyła sygnały dźwiękowe, które wykraczają poza spektrum dźwiękowe ludzkich uszu, dana osoba nie może ich usłyszeć. To samo z ultradźwiękami^{(Ultrasounds)} . Częstotliwość wynosi poza percepcją ludzkich uszu.

Źli ludzie zaczęli używać fal ultradźwiękowych^(Ultrasound) do przechwytywania urządzeń, takich jak smartfony i inteligentne domy, które używają poleceń głosowych. Te polecenia głosowe o częstotliwości fal ultradźwiękowych^(Ultrasound) są poza ludzką percepcją. To pozwala hakerom uzyskać potrzebne informacje (które są przechowywane w inteligentnych urządzeniach aktywowanych głosem) za pomocą asystentów dźwiękowych. Używają w tym celu niesłyszalnych dźwięków.

W przypadku ataków podczas surfowania hakerzy nie muszą znajdować się w zasięgu wzroku urządzenia inteligentnego, aby sterować nim za pomocą asystentów głosowych. Na przykład, jeśli iPhone jest ustawiony na stole, ludzie zakładają, że głos może poruszać się w powietrzu, więc jeśli polecenie głosowe nadejdzie w powietrzu, mogą zauważyć hakerów. Ale tak nie jest, ponieważ fale głosowe potrzebują tylko przewodnika do rozchodzenia się.

Wiedz^(Know) , że stałe artefakty również mogą pomóc w propagowaniu głosu, o ile mogą wibrować. Stół wykonany z drewna może nadal przepuszczać fale głosowe przez drewno. Są to fale ultradźwiękowe^(Ultrasound) używane jako polecenia do nielegalnego wykonywania czynności na smartfonach docelowych użytkowników lub innych inteligentnych urządzeniach, które korzystają z asystentów głosowych, takich jak Google Home lub Alexa .

Przeczytaj^(Read) : Co to jest atak polegający na rozpylaniu hasła^{(Password Spray Attack)} ?

Jak działają ataki surfowania?

Korzystanie z niesłyszalnych fal ultradźwiękowych, które mogą przemieszczać się po powierzchni, na której znajdują się maszyny. Na przykład, jeśli telefon stoi na drewnianym stole, wystarczy przymocować do niego maszynę, która może wysyłać fale ultradźwiękowe do ataku podczas surfowania.

W rzeczywistości urządzenie jest przymocowane do stołu ofiary lub innej powierzchni, na której opiera asystenta głosowego. To urządzenie najpierw zmniejsza głośność inteligentnych asystentów, aby ofiary niczego nie podejrzewały. Polecenie przychodzi za pośrednictwem urządzenia podłączonego do stołu, a odpowiedź na polecenie również jest zbierana przez tę samą maszynę lub coś innego, co może znajdować się w odległym miejscu.

Na przykład może zostać wydane polecenie mówiące „ Alexa , przeczytaj właśnie otrzymanego SMS- a ”. To polecenie jest niesłyszalne dla osób w pokoju. Alexa odczytuje wiadomość SMS^(SMS) zawierającą OTP (hasło jednorazowe) bardzo niskim głosem. Ta odpowiedź jest ponownie przechwytywana przez urządzenie przechwytujące i wysyłana tam, gdzie chcą hakerzy.

Takie ataki nazywają się Surfing Attacks . Starałem się usunąć wszystkie techniczne słowa z artykułu, aby nawet nie-technicy mogli zrozumieć ten problem. W przypadku zaawansowanego czytania, oto link do artykułu badawczego^{(a link to a research paper)} , który lepiej to wyjaśnia.

Czytaj dalej^{(Read next)} : Czym są ataki Living Off The Land^{(What are Living Off The Land attacks)} ?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voice Aѕsistants help you with daily chores – be it making an appointment with a client to playing music and more. The market related to voice assistants is full of optionѕ: Google, Siri, Alexa, and Bixby. These assistants are activated using voice commands and get things done. For example, you can ask Alexa to рlay some songs of your choice. Thesе devices can be hijacked and υsed against the owner of thе device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Related posts

• Siri, Asystent Google i Cortana — porównanie trzech asystentów cyfrowych

• Najlepsze inteligentne wtyczki w 2019 roku współpracujące z Alexą i Google Home

• Shodan to wyszukiwarka urządzeń podłączonych do Internetu

• Internet rzeczy (IoT) — często zadawane pytania (FAQ)

• Kto jest właścicielem danych IoT? Producent, Użytkownik końcowy czy jakaś strona trzecia?

• Pobierz oficjalne motywy Google Chrome dla swojej przeglądarki

• Jak zniszczyć profil w przeglądarce Zamknij w Google Chrome

• Najlepsze dodatki do Arkuszy Google zwiększające produktywność

• Komunikat o błędzie przeglądarki — Dokumenty Google w przeglądarce Chrome

• Jak dostosować i osadzić Kalendarz Google na dowolnej stronie internetowej?

• Jak wstawić pole tekstowe w Dokumentach Google

• Jak dodawać i używać wielu stref czasowych w Kalendarzu Google

• Definicja fragmentacji Androida, problem, problem, wykres

• Anna Assistant to idealna asystentka głosowa dla Google Chrome

• Skróty klawiaturowe Dokumentów Google dla komputerów z systemem Windows 11/10

• Najlepsze szablony faktur dla Dokumentów Google dla freelancerów i małych firm

• Najlepsze alternatywy Zakładek Google, na które chcesz rzucić okiem

• Jak wydrukować wybrane komórki w Excelu lub Arkuszach Google na jednej stronie?

• Jak zrobić pętlę Prezentacji Google bez publikowania

• Jak przekonwertować dokumenty do formatu PDF za pomocą Dokumentów Google za pomocą przeglądarki?