Aussi habiles que puissent être des orateurs intelligents, le fait qu’ils soient toujours à l’écoute peut les rendre un peu effrayants – rappelez-vous qu’ils ont été pris au piège en utilisant des humains pour écouter des enregistrements vocaux? Maintenant, les chercheurs ont démontré un nouveau risque potentiel pour la sécurité: il est possible d’émettre des commandes aux haut-parleurs intelligents. avec des lasers au lieu de mots parlés, comme les rapports Wired.

Les chercheurs ont découvert qu'en modifiant l'intensité du laser sur une fréquence spécifique et en pointant le laser directement sur le microphone du haut-parleur intelligent, ils pouvaient faire en sorte que le microphone interprète le laser comme s'il s'agissait d'un son, ce qui leur permettait de donner une commande à l'assistant vocal qui alimentait l'appareil. . Et il semble que pratiquement tous les assistants vocaux soient vulnérables à ce vecteur d’attaques, car les chercheurs affirment l’avoir testé sur les appareils Google Home, Amazon Alexa, et Portal Mini de Facebook, ainsi que sur certains smartphones, notamment un iPhone XR, un iPad de sixième génération, un Samsung Galaxy S9 et un Google Pixel 2.

Ils appellent cette idée "Commandes légères". Voici un aperçu vidéo de leur fonctionnement (le site Web des chercheurs contient également une bonne explication):

Et voici un exemple de laser qui ouvre une porte de garage à Google Home. Il existe également une vidéo d’un laser demandant à Google Home de donner l’heure et une vidéo d’un laser émettant une commande sur plusieurs bâtiments:

C'est un truc sauvage – mais ce ne sera probablement pas facile pour un attaquant potentiel.

D'une part, l'attaquant a besoin d'une ligne de mire sur le périphérique sur lequel il pointe un laser – à travers une fenêtre, très probablement. Vous pouvez supprimer la ligne de mire en gardant votre haut-parleur à l’écart de vos fenêtres ou en fermant vos rideaux.

L'attaque nécessite également du matériel spécialisé pour que le laser module sa fréquence – bien que les chercheurs aient fourni une liste des composants que vous pouvez utiliser. Beaucoup d'entre eux peuvent être achetés sur Amazon, et tout ce dont un attaquant potentiel pourrait avoir besoin coûte moins de 500 dollars. Vous aurez encore besoin d’une certaine expertise technique pour tout mettre en place, mais il n’est pas extrêmement coûteux de monter un laser pour ce scénario spécifique.

Certaines protections sont également intégrées à nos appareils, ce qui les rend plus difficiles à détourner par une seule demande vocale. Les assistants pour smartphone comme Siri vous demandent généralement de déverrouiller votre téléphone ou d'écouter une «voix de confiance» avant d'exécuter vos commandes. Et certains appareils intelligents ne s’activeront pas aussi facilement que la porte de garage de la vidéo: de nombreuses serrures, systèmes d’alarme et systèmes de démarrage à distance des véhicules nécessitent un code PIN avant de fonctionner. En théorie, un attaquant pourrait moduler les lasers pour «parler» le code PIN, mais il aurait besoin de vous écouter au préalable. Ils pourraient également tenter de recourir à la force brutale, mais cela signifie beaucoup plus de temps avant qu'ils ne puissent détourner votre appareil.

Les chercheurs suggèrent que les éditeurs de haut-parleurs intelligents pourraient mieux prévenir ce type d'attaque en exigeant que les commandes vocales soient entendues depuis deux microphones ou en plaçant un écran à la lumière devant le microphone. Il n’est pas clair si les fournisseurs apporteront des modifications immédiates pour remédier à cette vulnérabilité. Google et Amazon ont Filaire qu'ils ont examiné le document de recherche, Apple a refusé de commenter et Facebook n'a apparemment pas répondu avant Filaire publié leur article.

Compte tenu de ce qui est nécessaire pour mener à bien cette attaque, il ne semble pas que vous ayez à craindre que des personnes pointent des lasers dans votre maison pour ouvrir votre porte de garage. Mais c’est théoriquement possible, et les recherches démontrent qu’une autre manière d’introduire un microphone connecté à Internet chez vous peut être un risque potentiel pour votre sécurité.

Source

www.theverge.com