Americkým akademikom sa podarilo vyvinúť nový typ kybernetického útoku. Ide o nepočuteľný zvuk s názvom Near-Ultrasound Inaudible Trojan (NUIT), ktorý dokáže takmer bez námahy získať kontrolu nad zariadeniami vybavenými hlasovým asistentom. Ovládnuť tak dokáže napríklad smartfóny či inteligentné reproduktory, píše server Bleeping Computer.
NUIT dokáže komunikovať so širokou škálou hlasových asistentov. Robí tak za pomoci zvuku, ktorý sa šíri na tak vysokých frekvenciách, že ho ľudské ucho nedokáže registrovať. Mikrofóny inštalované do moderných smartfónov ho však dokážu zachytiť.
Útočníci tak môžu prostredníctvom tohto takmer ultrazvukového trojana odosielať do smartfónov a inteligentných reproduktorov škodlivé príkazy, a to s minimálnym rizikom odhalenia. Tvorcovia informujú, že NUIT je možné implementovať do webových stránok, ktoré prehrávajú médiá obsahujúce zvuk. Výnimkou vraj nie sú ani videá na platforme YouTube.
Dve formy útoku
Kyberútoky za použitia NUIT vraj možno realizovať dvoma spôsobmi.
Pri prvom spôsobe je dané zariadenie zdrojom i cieľom útoku – smartfón začne prehrávať zvuk, na základe ktorého samovoľne vykoná určitú akciu, napr. odošle textovú správu.
Pri druhom spôsobe je zdrojom útoku zariadenie s reproduktorom a cieľom iné zariadenie s mikrofónom. „Ak na svojej inteligentnej TV prehrávate videá z YouTube, táto TV má reproduktor, však? Zvuk NUIT je nepočuteľný a môže napadnúť váš mobilný telefón či komunikovať so zariadeniami s Asistentom Google alebo Alexou,“ vysvetľuje Guenevere Chenová, profesorka z Texaskej univerzity v San Antoniu.
Chenová dodáva, že škodlivý zvuk sa môže šíriť dokonca aj počas online konferencií, ktoré sa stali bežnou praxou cez pandémiu koronavírusu. Útok však môže byť úspešný len v prípade, ak je reproduktor zdrojového zariadenia nastavený na vyššiu úroveň hlasitosti.
Alarmujúca úspešnosť
Výskumníci NUIT demonštrovali na niekoľkých scenároch, a to s alarmujúcou úspešnosťou. Zvuk dokázal komunikovať s takmer každým hlasovým asistentom. Výnimkou je asistent Siri, ktorý na prijatie príkazu vyžaduje emuláciu alebo krádež hlasu majiteľa.
Útočníci vraj dokážu tento zvuk využiť na širokú škálu nekalých účelov. Hlasoví asistenti môžu byť cez NUIT navedení napríklad k otvoreniu webových stránok obsahujúcich škodlivý softvér so schopnosťou kradnúť citlivé údaje.
Všetky detaily ohľadne NUIT budú podrobne vysvetlené a demonštrované na 32. sympóziu USENIX Security Symposium, ktoré je naplánované na 9. až 11. augusta.
