HTCinside
التطور الأكثر إثارة للاهتمام في تكنولوجيا الهاتف المحمول هو استخدام المساعد الشخصي. يعمل كل من Google's Home و Alexa من Amazon و Siri من Apple على تبسيط عملنا باستخدام أمر صوتي فقط. من بين كل الأشياء الجيدة التي يمكن أن يفعلها ، من الصعب تخيل أن هؤلاء المساعدين الصوتيين الشخصيين عرضة للقراصنة.
كشف تقرير تقني حديث أن المتسللين والمهاجمين يستهدفون هؤلاء المساعدين الصوتيين الرقميين من خلال أشعة الليزر. يقومون بحقن أوامر غير مسموعة وغير مرئية في الجهاز والتي تتخذ إجراءات سرية بشأن الأوامر الخبيثة مثل فتح الباب وتشغيل المركبات وإلغاء حظر المواقع السرية وما إلى ذلك.
من خلال إلقاء أشعة ليزر منخفضة الطاقة على نظام تنشيط الصوت ، يمكن للمهاجمين الاقتحام بسهولة من مسافة 360 قدمًا تقريبًا. قد يكون هذا ممكنًا نظرًا لعدم وجود آلية مصادقة مستخدم مضمنة في الأنظمة. لذلك ، أصبحوا هدفًا سهلاً للمتسللين. حتى لو كان هناك أي نظام مصادقة ، فلن يكون اختراق رقم التعريف الشخصي أو كلمة المرور مشكلة كبيرة بالنسبة للمهاجمين ، نظرًا لوجود حد أقصى لعدد المحاولات أو التخمينات التي يمكن للمستخدمين تجربتها.
بصرف النظر عن الثغرة الأمنية الموجودة في المساعدين الصوتيين الرقميين ، يمكن حقن الاختراق المستند إلى الضوء حتى من مبنى إلى آخر. يمكن أيضًا استخدام تقنية الاقتحام هذه في استغلال الثغرة الأمنية الموجودة في الميكروفونات. تستخدم الميكروفونات الأنظمة الكهروميكانيكية الدقيقة (MEMS).
يتفاعل نظام MEMS مع الضوء تمامًا كما يتفاعل مع الصوت. على الرغم من أن الموضوع قيد البحث هو Google Home و Sri و Alexa ، إلا أنه يمكن الاستنتاج بأمان أن جميع الهواتف والأجهزة اللوحية والأجهزة الأخرى التي تعمل وفقًا لمبدأ MEMS يمكن أن تكون عرضة لهجمات الأوامر الخفيفة.
اقرأ -المتسللون الذين يستخدمون ملفات الصوت WAV لإدخال البرامج الضارة وأدوات التشفير
إلى جانب قوة استغلال الثغرة الأمنية ، هناك أيضًا بعض القيود على الهجوم من خلال التقنية القائمة على الضوء. لنفترض أن المهاجم يجب أن يكون لديه خط رؤية مباشر. في معظم الحالات ، لن ينجح الهجوم إلا عندما يسقط الضوء على جزء معين من الميكروفون.
ومع ذلك ، في حالة ضوء الليزر بالأشعة تحت الحمراء ، يمكنه اكتشاف الأجهزة القريبة أيضًا. أظهر البحث أن الهجمات القائمة على الضوء تستجيب للأوامر الصوتية ، كما يشير إلى أنها يمكن أن تعمل بشكل جيد في البيئات شبه الواقعية. يتوقع خبراء التكنولوجيا أن تكون هذه الهجمات أكثر حدة في المستقبل.
نجد أن أنظمة VC غالبًا ما تفتقر إلى آليات مصادقة المستخدم ، أو في حالة وجود الآليات ، يتم تنفيذها بشكل غير صحيح (على سبيل المثال ، السماح بالتأثير الغاشم لـ PIN).
نوضح كيف يمكن للمهاجم استخدام الأوامر الصوتية المحقونة بالضوء لفتح الباب الأمامي المحمي بقفل ذكي للهدف ، أو فتح أبواب المرآب ، أو التسوق على مواقع التجارة الإلكترونية على حساب الهدف ، أو حتى تحديد موقع ، وفتح ، وبدء المركبات المختلفة (على سبيل المثال ، Tesla و Ford) إذا كانت السيارات متصلة بحساب Google الهدف '. - كما هو مكتوب في تقرير البحث بعنوان 'الأوامر الضوئية: هجمات حقن الصوت بالليزر على أنظمة التحكم الصوتي. '