سیری، الکسا و Google Now، ابزارهای جدید نفوذ به دستگاه‌های الکترونیکی هوشمند

توضیحات: حسن کریمی; دسته: اخبار امنیت; 27 شهریور 1396 10:06

یافته‌های جدید محققان نشان می‌دهد دستیارهای دیجیتالی هوشمند نظیر الکسا، Google Now و سیری فرصت‌های جدیدی را پیش روی نفوذگران قرار داده‌اند. بر اساس جدیدترین تحقیقات انجام شده، تکنیک جدیدی به نام DolphinAttack امکان نفوذ از راه دور به دستگاه‌های الکترونیکی نظیر گوشی‌‌های هوشمند را به واسطه استفاده از دستیارهای دیجیتالی فراهم می‌کند.

امروزه دستیارهای دیجیتالی هوشمند در طیف وسیعی از دستگاه‌های الکترونیکی به کار گرفته شده‌اند. این منشی‌های دیجیتالی در گوشی‌های هوشمند، اسپیکرهای خانگی و حتی در خودروها نیز ادغام شده‌اند. افزایش بیش از پیش وابستگی کاربران به این راهکارهای نرم‌افزاری و استفاده از این دستیارهای دیجیتالی در حوزه‌های مختلف باعث شده نفوذگران نیز تمرکز خود را روی بهره‌برداری از روش‌های هوشمندانه به منظور دسترسی به داده‌های کاربران بگذارند. در حال حاضر، گوشی‌های هوشمند به طور گسترده از این دستیارهای دیجیتالی بهره‌مند شده‌اند اما شرکت‌هایی نظیر گوگل، آمازون، اپل و فیس‌بوک به دنبال توسعه تجهیزات هوشمندتری هستند. تجهیزاتی که ادغام دستیارهای دیجیتالی در ‌آن‌ها، بدون خطر هم نخواهد بود.

به بیان دیگر، هرچه این دستگاه‌ها هوشمندتر شوند، اطلاعات بیشتری را پردازش می‌کنند و در نهایت، به هدف بهتر و والاتری برای نفوذگران تبدیل می‌شوند. این در حالی است که نفوذگران امروزه به سطحی از مهارت دست پیدا کرده‌اند که حتی می‌توانند به سیستم‌های ویژه تشخیص چهره نیز نفوذ کرده و کنترل دستگاه‌های الکترونیکی هوشمند را در دست بگیرند.

محققان دانشگاه Zhejiang در جدیدترین مطالعات خود موفق به شبیه‌سازی مدلی شده‌اند که نفوذ از راه دور یا همان هک کردن دستگاه‌های الکترونیکی هوشمند نظیر گوشی‌ها‌، اسپیکرهای خانگی و حتی خودروها را با تمرکز روی دستیارهای دیجیتالی هوشمند ادغام شده در آن‌ها و البته با به‌کارگیری فرکانس‌های غیرقابل شنیدن ممکن می‌سازد.

به بیان دیگر، دستیارهای دیجیتالی ممکن است از طریق صداهایی فریب بخورند که برای گوش انسان قابل شنیدن نیست.

این راهکار که با هدف در دست گرفتن کنترل دستگاه‌های الکترونیکی هوشمند از طریق نفوذ به دستیارهای دیجیتالی طراحی شده است DolphinAttack خوانده می‌شود زیرا در آن از فرکانس‌های مافوق صوت برای شبیه‌سازی دستوراتی نظیر Hey Siri، Alexa و Okay Google استفاده شده تا دستیارهای دیجیتالی هوشمند به حالت آماده‌باش درآمده و خواسته‌های نفوذگران را اجرا کنند.

محققان، مقاله مبسوطی را در خصوص استفاده از این تکنیک منتشر کرده‌اند. در قسمتی از این مقاله که با عنوان DolphinAttack منتشر شده، اینچنین می‌خوانیم:

در این مقاله، ما روشی به نام DolphinAttack را که به استفاده از فرکانس‌های مافوق صوت برای نفوذ به دستیارهای دیجیتالی هوشمند اختصاص دارد بررسی کرده‌ایم. این روش، مدولاسیون دامنه را به نحوی ممکن می‌سازد تا نفوذگران بتوانند فرامین صوتی غیرقابل شنیدار را از طریق حامل‌های مافوق‌ صوتی که توسط گوش انسان قابل شناسایی نیست ارسال کنند.

این مقاله به طور مبسوط به امکان نفوذ به سیستم‌های تشخیص گفتار از طریق این نوع حملات پرداخته است. محققان معتقدند با استفاده از این دست حملات، نفوذگران می‌توانند فعال کردن سیری برای برقراری تماس در پلتفرم فیس‌تایم، فعال کردن Google Now برای تغییر وضعیت گوشی به حالت هواپیما (Airplane Mode) و حتی تغییر اطلاعات و ساختارها را در سیستم مسیریابی خودروها عملی سازند.

در ابعاد پیشرفته‌تر، نفوذگران حتی می‌توانند دستگاه‌های الکترونیکی را به دانلود کدهای آلوده از سروری در دوردست مجبور کنند تا به واسطه آن، دستگاه کاربر یا حتی یک شبکه، با بدافزاری خاص آلوده شود.

نکته قابل توجه اینکه تجهیزات استفاده شده در این دست نفوذ مجرمان، آنچنان پیشرفته نیست و مولفه‌های سخت‌افزاری آن تقریباً در تمامی فروشگاه‌های ویژه تجهیزات الکترونیکی یافت می‌شود. این ترکیب، اساساً از یک تقویت کننده صوتی یا همان آمپلی‌ فایر، یک مبدل مافوق صوت و یک باتری تشکیل شده است و مولفه چندان پیچیده‌ای ندارد.

هرچه که محیط اطراف از صداهای مزاحم، خالی‌تر باشد، میزان موفقیت برای پیاده‌سازی راهکار DolphinAttack افزایش خواهد یافت. در محیط‌های شلوغ مانند خیابان‌ها، از آنجایی که ممکن است صداهای محیطی با فرکانس‌های مافوق صوت تداخل پیدا کنند اجرای این دست حملات کار ساده‌ای نخواهد بود.

محققان راهکارهای ویژه‌ای را هم برای حفاظت بیشتر در مقابل این دست از حملات پیشنهاد داده‌اند.

همان‌طور که می‌دانید دستیارهای دیجیتالی هوشمند ادغام شده در دستگاه‌های الکترونیکی نظیر گوشی‌های هوشمند، به گزینه‌ای برای استفاده از کلمه یا ترکیب ویژه‌ای از کلمات مجهز شده‌اند که فعال‌سازی آن‌ها را بدون استفاده از واسطه‌های سخت‌افزاری به همراه خواهد داشت. این گزینه در اکثر موارد، به‌طور پیش‌فرض فعال است. با این تفاسیر، غیرفعال کردن این گزینه، اگرچه سختی بیشتر را برای فعال‌سازی دستیارهای دیجیتالی به همراه خواهد داشت اما تا حد زیادی می‌تواند حفاظت در برابر این دست حملات را به دنبال داشته باشد.

در دستگاه‌های مجهز به سیستم‌عامل iOS می‌توانید با مراجعه به قسمت تنظیمات، انتخاب گزینه General و پس از آن Siri، گزینه Allow Hey Siri را غیرفعال کنید.

در دستگاه‌های مجهز به سیستم‌عامل اندروید نیز می‌توانید اپلیکیشن Google را اجرا کرده و با انتخاب منوی تنظیمات از قسمت بالا، سمت چپ رابط کاربری، گزینه شناسایی Ok Google را انتخاب و آن را غیرفعال کنید.