17 июля 2016

В обычных видеороликах на YouTube можно спрятать вредоносные голосовые команды

Семеро исследователей из университетов Калифорнии, Беркли и Джорджтауна представили атаку, при помощи которой в обыкновенный видеоролик можно встроить скрытые голосовые команды, способные нанести вред ближайшим гаджетам.

Осенью 2015 года группа исследователей из французского Национального агентства безопасности информационных систем (ANSSI) уже предлагала использовать голосовых ассистентов Siri или Google Now для компрометации пользовательских устройств. Тогда исследователи доказали, что скрытые послания, которые «услышит» только машина, можно передавать посредством радиосигналов. Единственным обязательным условием для реализации такой атаки является необходимость, чтобы в разъем для наушников на устройстве жертвы быть подключены, собственно, наушники. Они исполнят роль антенны.

Новое исследование во многом напоминает идею французов. Специалисты предложили встроить скрытые голосовые команды в видео, а затем разместить его на любом популярном хостинге, к примеру, на YouTube. Во время проигрывания такого ролика человеческое ухо в большинстве случаев не заметит ничего подозрительного, тогда как Siri и Google Now отфильтруют из аудиопотока голосовые команды, которые поспешат выполнить.


Выше можно увидеть видеодемонстрацию атаки. В ролике хорошо заметно, что все зависит от выбранного способа искажения команды. Так, в некоторых случаях голосовые команды совершенно неразличимы, тогда как в других случаях искаженные слова вполне возможно разобрать. Внимание: перед просмотром демо стоит отключить распознавание голосовых команд на смартфоне.

По мнению исследователей, данная техника может использоваться как для обычных розыгрышей, так и для осуществления вредоносных действий. К примеру, такая команда может с равным успехом содержать приказ поискать что-то в Google, или инструкцию по скачиванию и установке малвари.

Для защиты от подобных атак могут пригодиться уведомление пользователя о принятой голосовой команде, а также система типа «вопрос-ответ», требующая вербального участия человека.

На официальном сайте проекта можно почитать о методике исследователей подробнее.

Источник: «Хакер»