Siber saldırganları yeni formülü: Ultrason Saldırısı
Yeni bir araştırma, bir saldırganın telefonları, akıllı hoparlörleri yahut dijital asistanı olan rastgele bir aygıtı sessizce denetim altına almak için duyulamayan ultrasonu nasıl kullanabileceğini gösteriyor.
İlk olarak BleepingComputer tarafından rapor edilen bir çalışmada araştırmacılar, telefon görüşmeleri yapmak, akıllı meskenlerde kapıların kilidini açmak, alarmları devre dışı bırakmak, metin bildirilerini okumak ve daha fazlası için aygıtlara sesli komutlar vermek için bu tekniği kullanabileceğinizi buldular. Atak Alexa, Cortana, Google Assistant ve Siri üzere dijital asistanlar üzerinde test edildi.
NUIT (Near-Ultrasound Inaudible Trojan) ismi verilen teknik, San Antonio’daki Texas Üniversitesi ve Colorado Springs Üniversitesi’ndeki araştırmacılardan oluşan bir takım tarafından USENIX Security Symposium 2023 için hazırlanan bir sunumda yer aldı.
Araştırmacılar, çalışmayı açıklayan bir web sitesinde “NUIT, sesli asistanlara (Siri, Google Assistant, Alexa, Cortana) karşı internet üzerinden uzaktan yürütülebilen yeni bir duyulamaz saldırıdır” diye yazıyor. Saldırıyı bir dizi YouTube görüntüsünde çalışırken görebilirsiniz.
Saldırı formülü, dijital asistanların insan kulağının duyamayacağı sesleri alabilen mikrofonlar kullanmasından faydalanıyor. NUIT, akıllı aygıtlara sesli komutlar vermek için yakın ultrason frekans aralığındaki (16kHz-20kHz) sesleri çalıyor, kimi komutların çalınması bir saniyeden az sürüyor.
Çalışma, NUIT’i birkaç farklı yolla kullanabileceğinizi gösteriyor. Örneğin, bir saldırgan sizi kandırarak telefonunuzda bir web sitesine ya da YouTube videosuna giden bir irtibata tıklamanızı sağlayabilir, bu da telefonunuzu denetim etmek için kısa bir gecikmeden sonra duyulamayan sesli komutları oynatır. Araştırmacılar NUIT’lerin bir telefondan oburunu denetim ederken, Zoom aramaları üzerinden çalarken, bir akıllı hoparlörü yahut öteki bir IOT aygıtını denetim etmek için bir telefonda çalarken ve hatta ek art plan müziği olan evraklara gömüldüğünde de çalıştığını gösterdi.
Testlerde, NUIT hücumları iPhone’lar, Samsung Galaxy telefonları ve Google Home ve Amazon Echo Cihazları üzere aygıtları denetim etmeyi başarmış görünüyor.
Bu tıp yeni ataklar gerçek dünyada şimdilik karşılaşılması sıkıntı aksiyonlar olsa da, yapay zekannın yükselişiyle birlikte sesli komutlar günlük hayatımız için daha kıymetli hale gelecek ve ses istismarları her zamankinden daha fazla talep görecek.
Araştırmacılar Ağustos ayında USENIX Güvenlik Sempozyumunda çalışma hakkında daha fazla detay sunacaklar.