Группой исследователей были обнаружены скрытые команды для Siri и Alexa, которые невозможно услышать человеку. Самое главное, что эти самые команды могут быть замаскированы под музыку, которая как вы понимаете, может быть «услышана» из любого устройства воспроизведения.
Первые попытки замаскировать команды были еще в далеком 2016 году силой студентов из университетов Беркли и Джорджтауна. Они смогла спрятать команды в YouTube-ролики или белый шум и с помощью динамиков включали на мобильных авиарежим, а так же достигли возможности открывать нужные сайты.
На этом дело не остановилось, и уже в 2017 новые исследователи явили миру устройство под названием DolphinAttack. Первые вариант устройства позволяли обмануть Siri при близком расположении, но продолжая свои эксперименты, исследователи смогли увеличить радиус действия до 8 метров.
Благодаря тому, что исследователи из института Беркли не закончили свои эксперименты, был получен еще лучший результат. Им удалось встроить необходимые команды в музыку или озвученный текст. По заявлению исследователей злоумышленники могут не только добавлять различные товары в список покупок, открывать необходимые сайты, открывать двери, но и переводить деньги.
Авторы данного исследования уверяют, что вся техническая спецификация не уходит за стены лаборатории, но как вы понимаете, информация может подтолкнуть других исследователей начать поиск способа использовать данную уязвимость. А так как в настоящее время Siri, да и другие голосовые помощники перебираются с мобильных устройств на ПК и ноутбуки, то простор для их действий может быть более просторный.
Принцип задействования скрытых команды для Siri и Alexa
Принцип задействования скрытых команды для Siri и Alexa основывается на самом принципе работы голосовых ассистентов. Системы распознания голоса сначала осуществляют интерпретацию услышанных звуков в буквы, а затем уже складывают их в слова. Благодаря правильному изменению звуковых файлов можно заменить звуки, которые человек слышит, на те, что недоступны слуху. При этом они будут выполняться так же, как и слышимые.
Конечно же информация об этой уязвимости спровоцировала реакцию от Apple, которая заявила что для доступа к персональным данным требуется разблокировать iPhone или iPad, а что касается HomePod, то он не предназначен для открытия замков.
Не смотря на эти заверения мы же понимаем, что разблокированный телефон может находиться в тех местах, где воспроизводится звук любым способом. Тот же телевизор, радио в машине и т.п. может стать именно тем устройством, который активирует необходимую для злоумышленников функцию пока вы пользуетесь истройство подверженным уязвимости.