Czy Siri albo Alexa mogą mi zaszkodzić?

By | 12 lutego 2018

Kilka dni temu przeglądając Facebook’a natrafiłem na filmik, w którym autor oglądał vloga MiroBurn, na którym Mirek wydaje polecenie dla urządzenia Amazon Echo. W tym samym momencie autor filmiku miał również włączonego głosowego asystenta od Amazona. Jak się okazało jego asystent uruchomił się nieoczekiwanie na polecenie wydane przez Mirka w swoim filmie. Nasunęło mi to pewien pomysł . Czy możliwe jest przeprowadzenie ataku hakerskiego przez specjalnie spreparowany film, który wzbudziłby działanie głosowego asystenta?

Urządzenia takie jak Amazon Echo, Google Home, czy Apple HomePod, do swojego działania wymagają podłączenia do internetu. Do tego w ciągu ostatnich lat ich możliwości zdecydowanie wzrosły. Pozwalają już nie tylko na wyszukiwanie prostych informacji, ale i bardziej skomplikowane czynności jak np. dokonywanie zakupów w naszym imieniu. Istnieją również rozwiązania, które umożliwiają np. sterowanie systemem inteligentnego domu.

 

Jak mógłby wyglądać taki hipotetyczny atak? W pierwszej kolejności atakujący musiałby zhakować asystenta, aby ten wykonywał jego polecenia. Myślę, że to jest najprostsze do zrobienia. Łatwo wyobrazić sobie przesłanie komuś filmiku, w którym wypowiadane są słowa wzbudzające urządzenie oraz wykonanie określonego polecenia. Przykład tego mogłem zobaczyć na filmiku wspomnianym na początku wpisu.

Okazuje się, że taki „pseudo atak” miał miejsce w rzeczywistości w kwietniu 2017 roku. Burger King wypuścił reklamę, w której aktor grający pracownika restauracji mówi, że nie ma czasu na opisywanie jak dobry jest ich burger, ale ma pomysł. W tym momencie wypowiada słowa „Ok Google. What is the Whooper burger?”. Możecie się domyślić co się zadziało, gdy w pobliżu telewizora stało urządzenie firmy z Mountain View 😉 (ciekawostką jest, że urządzenie odczytywało wiadomość z Wikipedii, którą każdy może wyedytować 🙂 )

Oczywiście polecenia jakie chciałby wykonać prawdziwy hacker musiałoby być zdecydowanie bardziej wyszukane. To co chciałby atakujący zrobić, to np. przeskanować sieć do jakiej podłączone jest urządzenie, uruchomić aktywne słuchanie i przekazywanie ich na wybrany serwer, wykonanie zakupów w imieniu właściciela czy też wyłączenie systemu alarmowego, albo otwarcie wszystkich zamków w domu. Wydaje mi się, że nie jest łatwe stworzenie takiego payload’u, ale od czego są badacze bezpieczeństwa.

Dodatkowo ciekawym zagadnieniem jest wzbudzenie urządzenia poprzez sygnały niesłyszalne dla ludzkiego ucha. Kilka miesięcy temu jednemu z naukowców z Zheijiang University z Chin udało się wygenerować niesłyszalne dźwięki, które wzbudzały Siri, Alex’ę i Google Now. Faktem jest, że wykonane zostało to w warunkach niemal laboratoryjnych na wysokiej klasy sprzęcie Hi-Fi. Niemniej oznacza to, że niezauważone hakowanie takich urządzeń jest również możliwe, choć obecnie nieopłacalne.

Podsumowując, kupując głosowego asystenta warto mieć na uwadze, że jednak jest to urządzenie ciągle włączone i w dodatku podłączone do internetu. Warto poszukać jak można się zabezpieczyć (kody PIN, rozpoznawanie głosu) i uniknąć ewentualnych przyszłych kłopotów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

This site uses Akismet to reduce spam. Learn how your comment data is processed.