Yeni bir araştırma, bir saldırganın telefonları, akıllı hoparlörleri yahut dijital asistanı olan rastgele bir aygıtı sessizce denetim altına almak için duyulamayan ultrasonu nasıl kullanabileceğini gösteriyor.
İlk olarak BleepingComputer tarafından rapor edilen bir çalışmada araştırmacılar, telefon görüşmeleri yapmak, akıllı meskenlerde kapıların kilidini açmak, alarmları devre dışı bırakmak, metin iletilerini okumak ve daha fazlası için aygıtlara sesli komutlar vermek için bu tekniği kullanabileceğinizi buldular. Taarruz Alexa, Cortana, Google Assistant ve Siri üzere dijital asistanlar üzerinde test edildi.
NUIT (Near-Ultrasound Inaudible Trojan) ismi verilen teknik, San Antonio’daki Texas Üniversitesi ve Colorado Springs Üniversitesi’ndeki araştırmacılardan oluşan bir takım tarafından USENIX Security Symposium 2023 için hazırlanan bir sunumda yer aldı.
Araştırmacılar, çalışmayı açıklayan bir web sitesinde “NUIT, sesli asistanlara (Siri, Google Assistant, Alexa, Cortana) karşı internet üzerinden uzaktan yürütülebilen yeni bir duyulamaz saldırıdır” diye yazıyor. Saldırıyı bir dizi YouTube görüntüsünde çalışırken görebilirsiniz.
Saldırı tekniği, dijital asistanların insan kulağının duyamayacağı sesleri alabilen mikrofonlar kullanmasından faydalanıyor. NUIT, akıllı aygıtlara sesli komutlar vermek için yakın ultrason frekans aralığındaki (16kHz-20kHz) sesleri çalıyor, birtakım komutların çalınması bir saniyeden az sürüyor.
Çalışma, NUIT’i birkaç farklı yolla kullanabileceğinizi gösteriyor. Örneğin, bir saldırgan sizi kandırarak telefonunuzda bir web sitesine ya da YouTube videosuna giden bir ilişkiye tıklamanızı sağlayabilir, bu da telefonunuzu denetim etmek için kısa bir gecikmeden sonra duyulamayan sesli komutları oynatır. Araştırmacılar NUIT’lerin bir telefondan başkasını denetim ederken, Zoom aramaları üzerinden çalarken, bir akıllı hoparlörü yahut diğer bir IOT aygıtını denetim etmek için bir telefonda çalarken ve hatta ek art plan müziği olan evraklara gömüldüğünde de çalıştığını gösterdi.
Testlerde, NUIT hücumları iPhone’lar, Samsung Galaxy telefonları ve Google Home ve Amazon Echo Cihazları üzere aygıtları denetim etmeyi başarmış görünüyor.
Bu çeşit yeni ataklar gerçek dünyada şimdilik karşılaşılması güç aksiyonlar olsa da, yapay zekannın yükselişiyle birlikte sesli komutlar günlük hayatımız için daha değerli hale gelecek ve ses istismarları her zamankinden daha fazla talep görecek.
Araştırmacılar Ağustos ayında USENIX Güvenlik Sempozyumunda çalışma hakkında daha fazla detay sunacaklar.
