Οι Βοηθοί φωνής σάς βοηθούν με τις καθημερινές δουλειές – είτε πρόκειται για ένα ραντεβού με έναν πελάτη, είτε για αναπαραγωγή μουσικής και πολλά άλλα. Η αγορά που σχετίζεται με τους βοηθούς φωνής είναι γεμάτη επιλογές: Google , Siri , Alexa και Bixby . Αυτοί οι βοηθοί ενεργοποιούνται χρησιμοποιώντας φωνητικές εντολές και ολοκληρώνουν τα πράγματα. Για παράδειγμα, μπορείτε να ζητήσετε από την Alexa να παίξει μερικά τραγούδια της επιλογής σας. Αυτές οι συσκευές μπορούν να παραβιαστούν και να χρησιμοποιηθούν εναντίον του κατόχου της συσκευής. Σήμερα, θα μάθουμε για τις επιθέσεις σερφ^{(Surfing Attacks)} με χρήση κυμάτων υπερήχων και τα πιθανά προβλήματα που δημιουργούν.^(Ultrasound)

Τι είναι το Surfing Attack;

Οι έξυπνες συσκευές είναι εξοπλισμένες με βοηθούς φωνής όπως το Google Home Assistant , την Alexa από την Amazon , το Siri από την Apple^(Apple) και μερικούς όχι και τόσο δημοφιλείς βοηθούς φωνής. Δεν μπόρεσα να βρω κανέναν ορισμό πουθενά στο Διαδίκτυο^(Internet) , οπότε τον ορίζω ως εξής:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

Ίσως γνωρίζετε ήδη ότι τα ανθρώπινα αυτιά μπορούν να αντιληφθούν ήχους μόνο μεταξύ ενός εύρους συχνοτήτων (20 Hz έως 20 KHz. Εάν κάποιος στέλνει ηχητικά σήματα που δεν εμπίπτουν στο ηχητικό φάσμα των ανθρώπινων αυτιών, το άτομο δεν μπορεί να τα ακούσει. Το ίδιο και με τους υπερήχους^{(Ultrasounds)} . Η συχνότητα είναι πέρα από την αντίληψη των ανθρώπινων αυτιών.

Οι κακοί άρχισαν να χρησιμοποιούν κύματα υπερήχων^(Ultrasound) για να κλέβουν συσκευές όπως smartphone και έξυπνα σπίτια, που χρησιμοποιούν φωνητικές εντολές. Αυτές οι φωνητικές εντολές στη συχνότητα των κυμάτων υπερήχων είναι πέρα ​​από την ανθρώπινη αντίληψη. ^(Ultrasound)Αυτό επιτρέπει στους χάκερ να αποκτούν τις πληροφορίες που θέλουν (οι οποίες αποθηκεύονται στις έξυπνες συσκευές που ενεργοποιούνται με φωνή), με τη βοήθεια των βοηθών ήχου. Χρησιμοποιούν μη ακούοντες ήχους για αυτό το σκοπό.

Για επιθέσεις σερφ, οι χάκερ δεν χρειάζεται να βρίσκονται στο οπτικό πεδίο της έξυπνης συσκευής για να την ελέγχουν χρησιμοποιώντας βοηθούς φωνής. Για παράδειγμα, εάν ένα iPhone είναι τοποθετημένο στο τραπέζι, οι άνθρωποι υποθέτουν ότι η φωνή μπορεί να κινείται στον αέρα, οπότε αν η φωνητική εντολή έρθει στον αέρα, μπορούν να παρατηρήσουν τους χάκερ. Αλλά δεν είναι έτσι γιατί τα φωνητικά κύματα χρειάζονται απλώς έναν αγωγό για να διαδοθούν.

Γνωρίστε^(Know) ότι και τα στερεά τεχνουργήματα μπορούν να βοηθήσουν στη διάδοση της φωνής, εφόσον μπορούν να δονούνται. Ένα τραπέζι από ξύλο μπορεί ακόμα να περάσει φωνητικά κύματα μέσα από το ξύλο. Αυτά είναι τα κύματα υπερήχων^(Ultrasound) που χρησιμοποιούνται ως εντολές για να γίνουν παράνομα πράγματα στα smartphone των χρηστών-στόχων ή σε άλλες έξυπνες συσκευές που χρησιμοποιούν βοηθούς φωνής όπως το Google Home ή το Alexa .

Διαβάστε^(Read) : Τι είναι η επίθεση με ψεκασμό κωδικού πρόσβασης^{(Password Spray Attack)} ;

Πώς λειτουργούν τα Surfing Attacks;

Χρησιμοποιώντας μη ακουστικά κύματα υπερήχων που μπορούν να ταξιδέψουν στην επιφάνεια όπου φυλάσσονται τα μηχανήματα. Για παράδειγμα, εάν το τηλέφωνο βρίσκεται σε ξύλινο τραπέζι, το μόνο που χρειάζεται να κάνουν είναι να συνδέσουν ένα μηχάνημα στο τραπέζι που μπορεί να στείλει κύματα υπερήχων για επίθεση σερφ.

Στην πραγματικότητα, μια συσκευή είναι προσαρτημένη στο τραπέζι του θύματος ή σε οποιαδήποτε επιφάνεια που χρησιμοποιεί για να ακουμπάει τον βοηθό φωνής. Αυτή η συσκευή αρχικά χαμηλώνει την ένταση των έξυπνων βοηθών, ώστε τα θύματα να μην υποψιάζονται τίποτα. Η εντολή έρχεται μέσω της συσκευής που είναι προσαρτημένη στον πίνακα και η απάντηση στην εντολή συλλέγεται επίσης από το ίδιο μηχάνημα ή κάτι άλλο που μπορεί να βρίσκεται σε απομακρυσμένο μέρος.

Για παράδειγμα, μπορεί να δοθεί μια εντολή που λέει, " Alexa , παρακαλώ διαβάστε το SMS που μόλις έλαβα". Αυτή η εντολή δεν ακούγεται στα άτομα στο δωμάτιο. Η Alexa^(Alexa) διαβάζει το SMS που περιέχει OTP (ένας κωδικός πρόσβασης) με εξαιρετικά χαμηλή φωνή. Αυτή η απάντηση συλλαμβάνεται και πάλι από τη συσκευή αεροπειρατείας και αποστέλλεται σε όπου θέλουν οι χάκερ.

Τέτοιες επιθέσεις ονομάζονται Surfing Attacks . Προσπάθησα να αφαιρέσω όλες τις τεχνικές λέξεις από το άρθρο, ώστε ακόμη και ένας μη τεχνικός να κατανοήσει αυτό το πρόβλημα. Για προχωρημένη ανάγνωση, εδώ είναι ένας σύνδεσμος προς μια ερευνητική εργασία^{(a link to a research paper)} που το εξηγεί καλύτερα.

Διαβάστε παρακάτω^{(Read next)} : Τι είναι οι επιθέσεις Living Off The Land^{(What are Living Off The Land attacks)} ;

Surfing Attacks: Hijack Siri, Alexa, Google, Bixby with Ultrasound Waves

Voiсе Aѕsistants help уou with daily chores – be it making an appointment with a сlient to plaуing muѕic and more. The market related to voice assistants is full of options: Google, Siri, Alexa, and Bixby. Thesе assistantѕ аre activated using vоice commands and get things done. For examрle, you can ask Alexa to plaу some songs of your choice. These dеvices can be hijacked and used аgainst the owner of the device. Today, we will learn about Surfing Attacks using Ultrasound waves and the potential problems it poses.

What is a Surfing Attack?

Smart devices are equipped with voice assistants such as Google Home Assistant, Alexa from Amazon, Siri from Apple, and some not-so-popular voice assistants. I could not find any definition anywhere on the Internet, so I define it as follows:

“Surfing attacks refer to hijacking of voice assistants using inaudible sounds such as Ultrasound waves, with an intention to access device owners’ data without the knowledge of owner”.

You might already know that human ears can perceive sounds only between a range of frequencies (20 Hz to 20KHz. If anyone sends audio signals that fall outside the audio spectrum of human ears, the person cannot hear them. Same with Ultrasounds. The frequency is beyond the perception of human ears.

The bad guys started using Ultrasound waves to hijack devices such as smartphones and smart homes, that use voice commands. These voice commands at the frequency of Ultrasound waves are beyond human perception. That allows hackers to obtain the information they want (which is stored in the voice-activated smart devices), with the help of the sound assistants. They use inaudible sounds for this end.

For surfing attacks, hackers need not be in the line of sight of the smart device to control it using voice assistants. For example, if an iPhone is set on the table, people assume that voice can move around in the air so if voice command comes through the air, they can notice the hackers. But it is not so because voice waves need just a conductor to propagate.

Know that solid artifacts too can help voice propagate as long as they can vibrate. A table made up of wood can still pass voice waves through the wood. These are the Ultrasound waves being used as commands to get things done illegally on the target users’ smartphones or other smart devices that make use of voice assistants such as Google Home or Alexa.

Read: What is a Password Spray Attack?

How do Surfing Attacks work?

Using inaudible ultrasound waves that can travel through the surface where the machines are kept. For example, if the phone is on a wooden table, all they need to do is to attach a machine to the table that can send ultrasound waves for surfing attack.

Actually, a device is attached to the victim’s table or whatever surface he or she is using to rest the voice assistant on. This device first turns down the volume of smart assistants so that the victims don’t suspect anything. The command comes via the device attached to the table and the response to command too is collected by the same machine or something else that may be at a remote place.

For example, a command may be given saying, “Alexa, please read the SMS I just got”. This command is inaudible to people in the room. Alexa reads out the SMS containing OTP (one-time password) in an extremely low voice. This response is again captured by the hijacking device and sent to wherever the hackers want.

Such attacks are called Surfing Attacks. I have tried to remove all technical words from the article so that even a non-techie can understand this problem. For advanced reading, here is a link to a research paper that explains it better.

Read next: What are Living Off The Land attacks?

Related posts

• Siri, Google Assistant και Cortana – Συγκρίνονται τρεις ψηφιακοί βοηθοί

• Οι καλύτερες έξυπνες πρίζες για το 2019 που λειτουργούν με την Alexa και το Google Home

• Το Shodan είναι μια μηχανή αναζήτησης για συσκευές συνδεδεμένες στο Διαδίκτυο

• Internet of Things (IoT) - Συχνές ερωτήσεις (FAQ)

• Σε ποιον ανήκει τα δεδομένα IoT; Κατασκευαστής, Τελικός χρήστης ή κάποιο τρίτο μέρος;

• Παρουσιάστηκε μήνυμα σφάλματος προγράμματος περιήγησης - Έγγραφα Google στο Chrome

• Διορθώστε το σφάλμα ERR_SPDY_PROTOCOL_ERROR στο Google Chrome

• Οι καλύτερες εναλλακτικές σελιδοδείκτες Google που θέλετε να ρίξετε μια ματιά

• Διορθώστε το σφάλμα λήψης δέσμης ενεργειών διακομιστή μεσολάβησης στο Google Chrome

• Το Google Drive συνεχίζει να κολλάει στον υπολογιστή με Windows

• Ορισμός κατακερματισμού Android, Πρόβλημα, Πρόβλημα, Γράφημα

• Το Google Chrome δεν ανταποκρίνεται, Επανεκκίνηση τώρα;

• Google εναντίον Bing - Εύρεση της κατάλληλης μηχανής αναζήτησης για εσάς

• Πώς να μετατρέψετε έγγραφα σε PDF με τα Έγγραφα Google χρησιμοποιώντας ένα πρόγραμμα περιήγησης

• Πώς να εξαιρεθείτε από το Google FLoC (Privacy Sandbox) στο Chrome

• How to rotate text in Google Sheets web app

• Γιατί οι συσκευές IoT όπως το Amazon Echo αποτελούν στόχο για εισβολείς και πώς να προστατευτείτε

• Πώς να προσθέσετε και να διαγράψετε επαφές στις Επαφές Google ή στο Gmail

• Πώς να ρυθμίσετε μια μονάδα Raspberry Pi με προεπιλεγμένες ρυθμίσεις

• Cyberduck: Δωρεάν FTP, SFTP, WebDAV, πελάτης Google Drive για Windows