Голосовые помощники помогут вам в повседневных делах — будь то запись на встречу с клиентом, прослушивание музыки и многое другое. Рынок, связанный с голосовыми помощниками, полон вариантов: Google , Siri , Alexa и Bixby . Эти помощники активируются с помощью голосовых команд и выполняют свои задачи. Например, вы можете попросить Alexa воспроизвести несколько песен по вашему выбору. Эти устройства могут быть захвачены и использованы против владельца устройства. Сегодня мы узнаем об атаках^{(Surfing Attacks)} в серфинге с использованием ультразвуковых^(Ultrasound) волн и потенциальных проблемах, которые они создают.

Что такое серфинг-атака?

Умные устройства оснащены голосовыми помощниками, такими как Google Home Assistant , Alexa от Amazon , Siri от Apple и некоторыми не очень популярными голосовыми помощниками. Я нигде не смог найти определения в Интернете^(Internet) , поэтому определяю его следующим образом:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Возможно, вы уже знаете, что человеческие уши могут воспринимать звуки только в диапазоне частот (от 20 Гц до 20 кГц). Если кто-то посылает аудиосигналы, выходящие за пределы звукового спектра человеческого уха, человек не может их слышать. То же самое с ультразвуком^{(Ultrasounds)} . за пределами восприятия человеческого уха.

Злоумышленники начали использовать ультразвуковые^(Ultrasound) волны для захвата устройств, таких как смартфоны и умные дома, которые используют голосовые команды. Эти голосовые команды на частоте ультразвуковых^(Ultrasound) волн находятся за пределами человеческого восприятия. Это позволяет хакерам получать нужную им информацию (которая хранится в интеллектуальных устройствах с голосовым управлением) с помощью звуковых помощников. Для этого они используют неслышимые звуки.

Для серфинг-атак хакерам не нужно находиться в зоне прямой видимости смарт-устройства, чтобы управлять им с помощью голосовых помощников. Например, если iPhone лежит на столе, люди предполагают, что голос может перемещаться по воздуху, поэтому, если голосовая команда поступает по воздуху, они могут заметить хакеров. Но это не так, потому что для распространения звуковым волнам нужен только проводник.

Знайте^(Know) , что твердые артефакты тоже могут способствовать распространению голоса, если они могут вибрировать. Стол из дерева все еще может передавать звуковые волны через дерево. Это ультразвуковые^(Ultrasound) волны, используемые в качестве команд для незаконных действий на смартфонах целевых пользователей или других интеллектуальных устройствах, использующих голосовые помощники, такие как Google Home или Alexa .

Прочтите^(Read) : Что такое атака путем распыления пароля^{(Password Spray Attack)} ?

Как работают серфинг-атаки?

Использование неслышимых ультразвуковых волн, которые могут проходить через поверхность, на которой хранятся машины. Например, если телефон находится на деревянном столе, все, что им нужно сделать, это прикрепить к столу устройство, которое может посылать ультразвуковые волны для атаки серфинга.

На самом деле к столу жертвы или любой другой поверхности, на которую он или она использует, прикрепляется устройство, на котором находится голосовой помощник. Это устройство сначала убавляет громкость умных помощников, чтобы жертвы ничего не заподозрили. Команда поступает через устройство, подключенное к столу, и ответ на команду тоже собирается той же машиной или чем-то еще, что может быть в удаленном месте.

Например, может быть дана команда: « Алекса^(Alexa) , пожалуйста, прочитай SMS , которое я только что получил». Эта команда не слышна людям в комнате. Alexa очень тихим голосом зачитывает SMS , содержащее OTP (одноразовый пароль). Этот ответ снова перехватывается угонным устройством и отправляется туда, куда хотят хакеры.

Такие атаки называются Surfing Attacks . Я постарался убрать из статьи все технические слова, чтобы даже неспециалист мог разобраться в этой проблеме. Для продвинутого чтения, вот ссылка на исследовательскую работу^{(a link to a research paper)} , которая объясняет это лучше.

Читать дальше^{(Read next)} : Что такое атаки Living Off The Land^{(What are Living Off The Land attacks)} ?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voiсe Assistаnts help you with dailу chores – be it making an apрointment with a client to playing music аnd more. The market related to voice assistants is full of options: Google, Sirі, Alеxa, and Bixby. These assistants are activatеd using voice commands and get things donе. For example, you can aѕk Alexа to play some songs of yоur chоіce. These devicеs can be hijacked аnd used аgainst the owner of the device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Related posts

• Siri, Google Assistant и Cortana — сравнение трех цифровых помощников

• Лучшие смарт-розетки 2019 года, которые работают с Alexa и Google Home

• Shodan - search engine для подключенных к Интернету устройств

• Internet Things (IoT) - Часто задаваемые вопросы (FAQ)

• Кто владеет IoT Data? Manufacturer, End User или какая-то третья сторона?

• Make Google Drive Открытый файл в New tab в Chrome

• Как настроить Raspberry Pi module с настройками по умолчанию

• Как сохранить файлы из LibreOffice напрямую на Google Drive

• Как изменить Default Print Settings в Google Chrome

• Google vs Bing - Поиск подходящего для вас search engine

• Best Invoice Templates для Google Docs для Freelancers, Small Business

• Как удалить Google Stadia account

• Best Google Sheets Add-ons для повышения производительности

• Как Create and Delete Profiles в веб-браузере Google Chrome

• Как связаться Google AdSense от Email

• Как вращать текст в веб-приложении Google Sheets

• Cyberduck: бесплатный FTP, SFTP, WebDAV, Google Drive client для Windows

• Что такое Internet Things - Представляя Skynet!

• Как исправить ошибки File Download на Google Chrome browser

• Fix Downloading Proxy Script error в Google Chrome