Дослідники безпеки виявили спосіб, що дозволяє зламувати пристрій Amazon Alexa за допомогою лазерного променя і перехоплювати контроль над обліковим записом користувача.
Експерти провели дослідження з метою з’ясувати, чому цифрові домашні помічники та інші сенсорні системи, що використовують звукові команди для виконання функцій, можуть бути зламані за допомогою світла.
“Модулюючи електричний сигнал інтенсивністю світлового променя, зловмисники можуть обманом змусити мікрофони виробляти електричні сигнали”, – заявили дослідники.
Експерти продемонстрували, як можна використовувати світло для управління широким спектром цифрових помічників, включаючи Amazon Echo 3, а також сенсорні системи в медичних пристроях, автономних транспортних засобах, промислових і навіть космічних системах.
Використання цифрового помічника в якості шлюзу може дозволити зловмисникам отримати контроль над іншими пристроями в будинку. Атаки можуть представляти набагато більшу небезпеку в тих випадках, коли пристрої підключені до інших аспектів “розумного” будинку, таких як дверні замки, гаражні двері, комп’ютери і навіть машини.
“Аутентифікація користувача на цих пристроях часто відсутня, що дозволяє зловмисникові використовувати введенні світлом голосові команди, щоб розблокувати вхідні двері, захищені “розумним” замком, відкрити двері гаража, зробити покупки на web-сайтах електронної комерції за рахунок жертви або навіть розблокувати і запустити різні автомобілі, підключені до облікового запису Google (наприклад, Tesla і Ford)”, – повідомили дослідники.
У минулому році вчені описали атаку, яка дістала назву light commands (світлові команди), в ході якої використовувалися мікрофони “розумних” помічників – останнє покоління Amazon Echo, Apple Siri, Facebook Portal і Google Home. Дослідники зосередилися на мікрофонах MEM, які працюють шляхом перетворення звуку в електричні сигнали. Команда заявила, що вони могли запускати нечутні команди за допомогою лазерів з відстані в 110 метрів.
Команда планує представити результати своїх досліджень на конференції Black Hat Europe 10 грудня цього року.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.