NUIT: Hallhatatlan támadás
Amerikai egyetemi kutatók új támadást fejlesztettek ki Near-Ultrasound Inaudiible Trojan (NUIT) néven, amely csendes támadásokat indíthat hangsegédekkel működő eszközök, például okostelefonok, intelligens hangszórók és más IoT eszközök ellen.
A kutatók olyan NUIT-támadásokat mutattak be, amik alkalmazhatóak több millió eszközben található modern hangasszisztensek ellen, köztük az Apple Siri-t, a Google Assistant-t, a Microsoft Cortana-át és az Amazon Alexa-t, megmutatva, hogy képesek rosszindulatú parancsokat küldeni ezekre az eszközökre.
A fő elv, amely a NUIT-ot hatékonnyá és veszélyessé teszi, az az, hogy az intelligens eszközökben lévő mikrofonok olyan közel ultrahangos tartományra is képesek reagálni, amelyekre az emberi fül nem képes, így a támadást minimális expozíciós kockázattal hajtják végre, miközben továbbra is hagyományos hangszórótechnológiát használnak. Egy bejegyzésben az USTA oldalán , Chen kifejtette, hogy a NUIT beépíthető olyan weboldalba, amelyek médiát vagy YouTube-videókat játsszanak le, így a célpontok meglátogatása vagy a megbízható weboldalakon rosszindulatú média lejátszása a social engineering viszonylag egyszerű esete.
A kutatók szerint a NUIT-támadásokat két különböző módszerrel lehet végrehajtani.
Az első módszer, a NUIT-1, amikor egy eszköz a támadás forrása és célpontja is. Például egy okostelefonon támadás indítható egy hangfájl lejátszásával, amelynek hatására az eszköz valamilyen műveletet hajt végre, például kinyit egy garázsajtót vagy szöveges üzenetet küld.
A másik módszer, a NUIT-2, amikor a támadást egy hangszóróval rendelkező eszköz egy másik mikrofonnal ellátott eszközre indítja, például egy weboldal egy okoshangszóróra.
A kutatók 17 népszerű eszközt teszteltek, amelyeken a hangasszisztensek működnek, és megállapították, hogy ezek mindegyike bármilyen, akár robot által generált hang használatával is birtokolható, kivéve az Apple Sirit, amelyhez emulálni kell vagy el kell lopni a célpont hangját a parancsok elfogadásához.