Voice Assistantit auttavat sinua päivittäisissä askareissa – olipa kyseessä sitten ajan varaaminen asiakkaan kanssa musiikin soittamiseen tai muuhun. Ääniavustajien markkinat ovat täynnä vaihtoehtoja: Google , Siri , Alexa ja Bixby . Nämä avustajat aktivoidaan äänikomennoilla ja saavat asiat tehtyä. Voit esimerkiksi pyytää Alexaa^(Alexa) soittamaan joitain valitsemiasi kappaleita. Nämä laitteet voidaan kaapata ja käyttää laitteen omistajaa vastaan. Tänään opimme surffaushyökkäyksistä ^{(Surfing Attacks)}ultraääniaaltojen^(Ultrasound) avulla ja sen aiheuttamista mahdollisista ongelmista.

Mikä on surffaushyökkäys?

Surfing Attacks -kuva

Älylaitteet on varustettu ääniavustajilla, kuten Google^(Apple) Home Assistant^{(Google Home Assistant)} , Alexa Amazonista^(Amazon) , Siri Applelta ja jotkut ei niin suositut ääniavustajat. En löytänyt määritelmää mistään Internetistä^(Internet) , joten määrittelen sen seuraavasti:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Saatat jo tietää, että ihmiskorvat voivat havaita ääniä vain eri taajuuksilla (20 Hz - 20 KHz. Jos joku lähettää äänisignaaleja, jotka jäävät ihmiskorvien äänispektrin ulkopuolelle, henkilö ei kuule niitä. Sama koskee ultraääniä^{(Ultrasounds)} . Taajuus on ihmiskorvien havaitsemisen ulkopuolella.

Pahikset alkoivat käyttää ultraääniaaltoja^(Ultrasound) äänikomentoja käyttävien laitteiden, kuten älypuhelimien ja älykotien kaappaamiseen. Nämä äänikomennot ultraääniaaltojen^(Ultrasound) taajuudella ovat ihmisen käsityskyvyn ulkopuolella. Näin hakkerit voivat saada haluamansa tiedot (jotka tallennetaan ääniohjattuihin älylaitteisiin) ääniavustajien avulla. He käyttävät tähän tarkoitukseen kuulumattomia ääniä.

Surffaushyökkäyksiä varten hakkereiden ei tarvitse olla älylaitteen näköetäisyydellä ohjatakseen sitä ääniavustajien avulla. Jos esimerkiksi iPhone on asetettu pöydälle, ihmiset olettavat, että ääni voi liikkua ilmassa, joten jos äänikomento tulee ilmassa, he voivat huomata hakkerit. Mutta se ei ole niin, koska ääniaallot tarvitsevat vain johtimen leviäkseen.

Tiedä^(Know) , että myös kiinteät esineet voivat auttaa ääntä leviämään niin kauan kuin ne voivat väriseä. Puusta valmistettu pöytä voi silti siirtää ääniaaltoja puun läpi. Nämä ovat ultraääniaaltoja^(Ultrasound) , joita käytetään komennoina, jotta asiat saadaan tehtyä laittomasti kohdekäyttäjien älypuhelimilla tai muilla älylaitteilla, jotka käyttävät ääniavustajaa, kuten Google Home tai Alexa .

Lue^(Read) : Mikä on salasanasumutushyökkäys^{(Password Spray Attack)} ?

Kuinka Surfing Attacks toimii?

Käyttää kuulumattomia ultraääniaaltoja, jotka voivat kulkea koneiden säilytyspinnan läpi. Esimerkiksi, jos puhelin on puisella pöydällä, heidän tarvitsee vain kiinnittää pöytään kone, joka voi lähettää ultraääniaaltoja surffaushyökkäystä varten.

Itse asiassa laite on kiinnitetty uhrin pöytään tai mihin tahansa pintaan, jolla hän käyttää ääniavustajaa. Tämä laite laskee ensin älykkäiden avustajien äänenvoimakkuutta, jotta uhrit eivät epäile mitään. Komento tulee taulukkoon liitetyn laitteen kautta ja myös komentovastauksen kerää sama kone tai jokin muu, joka saattaa olla etäpaikassa.

Esimerkiksi voidaan antaa komento, jossa sanotaan: " Alexa , lue tekstiviesti^(SMS) , jonka juuri sain". Tämä komento ei kuulu huoneessa oleville ihmisille. Alexa lukee tekstiviestin^(SMS) , joka sisältää OTP :n (kertasalasanan), erittäin matalalla äänellä. Kaappauslaite ottaa jälleen tämän vastauksen ja lähettää sen minne hakkerit haluavat.

Tällaisia hyökkäyksiä kutsutaan Surfing Attackiksi^(Attacks) . Olen yrittänyt poistaa artikkelista kaikki tekniset sanat, jotta jopa ei-tekniikko ymmärtää tämän ongelman. Edistyksellistä lukemista varten tässä on linkki tutkimuspaperiin^{(a link to a research paper)} , joka selittää sen paremmin.

Lue seuraavaksi^{(Read next)} : Mitä Living Off The Land -hyökkäykset ovat^{(What are Living Off The Land attacks)} ?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voice Assistants help you with daily chores – be it making an appointment with a client to playing music and more. The market rеlated to voice assistants is full of options: Google, Sіri, Alexa, and Βixby. These asѕіstants are activated using voicе commands and get things done. For example, you can ask Alexa to play some songs of yоur choice. These devices can be hiјacked and used agаinst the owner of the device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Surfing Attacks image

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Tarja Laitinen

About the author

Olen tietojenkäsittelytieteilijä, joka keskittyy yksityisyyteen ja käyttäjätileihin sekä perheen turvallisuuteen. Olen työskennellyt älypuhelinten tietoturvan parantamisessa viime vuosina, ja minulla on kokemusta työskentelystä peliyritysten kanssa. Olen myös kirjoittanut useaan otteeseen käyttäjätileihin ja pelaamiseen liittyvistä ongelmista.

Surffaushyökkäykset: Hijack Siri, Alexa, Google, Bixby ultraääniaaltojen avulla

Mikä on surffaushyökkäys?

Kuinka Surfing Attacks toimii?

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

What is a Surfing Attack?

How do Surfing Attacks work?

Tarja Laitinen

About the author

Related posts

Siri, Google Assistant ja Cortana – kolme digitaalista avustajaa verrattuna

Vuoden 2019 parhaat älyliittimet, jotka toimivat Alexan ja Google Homen kanssa

Shodan on hakukone Internetiin yhdistetyille laitteille

Esineiden internet (IoT) – usein kysytyt kysymykset (FAQ)

Kuka omistaa IoT-datan? Valmistaja, loppukäyttäjä vai joku kolmas osapuoli?

Google FLoC:n (Privacy Sandbox) poistaminen käytöstä Chromessa

Tiedostojen tallentaminen LibreOfficesta suoraan Google Driveen

Kuinka tulostaa valitut solut Excelissä tai Google Sheetsissä yhdelle sivulle

Profiilin tuhoaminen selaimen sulkemisessa Google Chromessa

Korjaa välityspalvelimen latausvirhe Google Chromessa

Kuinka korjata tiedostojen latausvirheet Google Chrome -selaimessa

Kuinka jakaa "Tee kopio" -linkit Google-tiedostoihisi muiden kanssa

Google-dokumenttien pikanäppäimet Windows 11/10 PC:lle

Ilmoitti selainvirheilmoitus - Google-dokumentit Chromessa

ERR_NAME_NOT_RESOLVED, Virhekoodi 105 Google Chromessa

Google-kalenterin mukauttaminen ja upottaminen mille tahansa verkkosivulle

Google Drive -videoita ei toisteta tai niiden näyttö on tyhjä

Tekstikentän lisääminen Google-dokumentteihin

Profiilien luominen ja poistaminen Google Chrome -selaimessa

Kuinka luoda Drop Cap Google Docsissa muutamassa minuutissa