WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lệnh bằng giọng nói ẩn trong video trên YouTube có thể chiếm quyền điều khiển smartphone
Các nhà nghiên cứu đã làm sáng tỏ ngờ vực về một lỗ hổng có thể được hacker sử dụng để chiếm quyền điều khiển điện thoại thông minh thông qua phần mềm nhận diện giọng nói được tích hợp trong điện thoại. Bằng việc giấu lệnh bằng giọng nói trong các video trên YouTube, một nhóm các giáo sư đại học tại Mỹ có thể khiến cho thiết bị gần đó thực hiện những hành vi độc hại.
Giao diện giọng nói đã trở thành một tính năng phổ biến trên điện thoại thông minh, cho phép người dùng gia tăng tiện nghi trong kế hoạch sinh hoạt hằng ngay, soạn thảo tin nhắn bằng giọng nói hoặc giải quyết những cuộc tranh luận vô nghĩa trong quán rượu. Những phần mềm như Siri, Cortana, hay Google Now làm cho smartphone ngày càng thông minh hơn, đồng thời mang đến một loại lỗ hổng hoàn toàn mới.
Khả năng kiểm soát điện thoại thông minh sử dụng lệnh bằng giọng nói đã được cảnh báo trước đây, đáng chú ý nhất là từ cơ quan an ninh thông tin Pháp, ANSSI vào năm 2015. Cơ quan này đã chỉ ra rằng lệnh bằng giọng nói của Siri có thể được kích hoạt ẩm thầm trong phạm vi lên đến 16 feet bằng cách gửi sóng radio tới điện thoại iPhone được gắn tai nghe.
Nghiên cứu gần đây cho thấy điều khiển điện thoại thông minh qua giọng nói không phức tạp đến thế, và điện thoại thông minh có thể bị điều khiển thông qua video bình thường trên YouTube.
Trong video chứng minh, các nhà nghiên cứu từ Đại Học Georgetown và Đại Học California, Berkeley có thể kích hoạt điện thoại chạy hệ điều hành Android bằng tính năng kích hoạt "OK Google". Lệnh bằng âm thanh được điều chỉnh nhằm tránh bị con người nghe thấy, nhưng có thể được phần mềm trên điện thoại gần đó nhận diện dễ dàng. Từ đây, các nhà nghiên cứu có thể làm cho thiết bị truy cập mạng internet và thay đổi các thiết lập trên điện thoại.
Phương pháp này có thể được sử dụng để thực hiện các cuộc tấn công với mức độ nghiêm trọng khác nhau, như tấn công từ chối dịch vụ bằng việc kích hoạt chế độ máy bay của thiết bị, đăng tải thông tin vị trí của người dùng trên phương tiện truyền thông, hoặc điều khiển điện thoại truy cập đường dẫn độc hại nhằm lây nhiễm mã độc (điều này có thể dẫn đến việc chiếm quyền điều khiển thiết bị). Trong khi lệnh bằng giọng nói khá rõ ràng trong đoạn video minh họa, các nhà nghiên cứu cũng nói thêm rằng bất kỳ ai có hiểu biết chuyên sâu về hệ thống nhận diện giọng nói đều có thể thực hiện các lệnh giọng nói ẩn mà con người không có khả năng nhận biết.
Điều làm cho lỗ hổng này trở nên nguy hiểm hơn là cần rất ít kiến thức kỹ thuật để tiến hành khai thác lỗ hổng. Nghiên cứu cho biết "Các lệnh giọng nói ẩn có thể được thực hiện bởi những người có rất ít hiểu biết về hệ thống nhận diện giọng nói. Chúng tôi đưa ra phương pháp tấn công cơ bản về việc tạo ra các lệnh có khả năng thực thi với bất kỳ hệ thống nhận diện giọng nói nào".
Nghiên cứu kết luận rằng các công cụ nhận diện giọng nói tốt hơn, hoặc chứng thực giọng nói cần được tích hợp vào giao diện giọng nói của điện thoại thông minh để có thể được kiểm soát bởi người sở hữu thiết bị. Nghiên cứu cũng đề xuất thực thi "các bộ lọc" để đảm bảo chỉ những lệnh bằng giọng nói rõ ràng mới được điện thoại thực hiện.
Theo ibtimes.co.uk
Giao diện giọng nói đã trở thành một tính năng phổ biến trên điện thoại thông minh, cho phép người dùng gia tăng tiện nghi trong kế hoạch sinh hoạt hằng ngay, soạn thảo tin nhắn bằng giọng nói hoặc giải quyết những cuộc tranh luận vô nghĩa trong quán rượu. Những phần mềm như Siri, Cortana, hay Google Now làm cho smartphone ngày càng thông minh hơn, đồng thời mang đến một loại lỗ hổng hoàn toàn mới.
Khả năng kiểm soát điện thoại thông minh sử dụng lệnh bằng giọng nói đã được cảnh báo trước đây, đáng chú ý nhất là từ cơ quan an ninh thông tin Pháp, ANSSI vào năm 2015. Cơ quan này đã chỉ ra rằng lệnh bằng giọng nói của Siri có thể được kích hoạt ẩm thầm trong phạm vi lên đến 16 feet bằng cách gửi sóng radio tới điện thoại iPhone được gắn tai nghe.
Nghiên cứu gần đây cho thấy điều khiển điện thoại thông minh qua giọng nói không phức tạp đến thế, và điện thoại thông minh có thể bị điều khiển thông qua video bình thường trên YouTube.
Trong video chứng minh, các nhà nghiên cứu từ Đại Học Georgetown và Đại Học California, Berkeley có thể kích hoạt điện thoại chạy hệ điều hành Android bằng tính năng kích hoạt "OK Google". Lệnh bằng âm thanh được điều chỉnh nhằm tránh bị con người nghe thấy, nhưng có thể được phần mềm trên điện thoại gần đó nhận diện dễ dàng. Từ đây, các nhà nghiên cứu có thể làm cho thiết bị truy cập mạng internet và thay đổi các thiết lập trên điện thoại.
[video=youtube;HvZAZFztlO0]https://www.youtube.com/watch?v=HvZAZFztlO0[/video]
Phương pháp này có thể được sử dụng để thực hiện các cuộc tấn công với mức độ nghiêm trọng khác nhau, như tấn công từ chối dịch vụ bằng việc kích hoạt chế độ máy bay của thiết bị, đăng tải thông tin vị trí của người dùng trên phương tiện truyền thông, hoặc điều khiển điện thoại truy cập đường dẫn độc hại nhằm lây nhiễm mã độc (điều này có thể dẫn đến việc chiếm quyền điều khiển thiết bị). Trong khi lệnh bằng giọng nói khá rõ ràng trong đoạn video minh họa, các nhà nghiên cứu cũng nói thêm rằng bất kỳ ai có hiểu biết chuyên sâu về hệ thống nhận diện giọng nói đều có thể thực hiện các lệnh giọng nói ẩn mà con người không có khả năng nhận biết.
Điều làm cho lỗ hổng này trở nên nguy hiểm hơn là cần rất ít kiến thức kỹ thuật để tiến hành khai thác lỗ hổng. Nghiên cứu cho biết "Các lệnh giọng nói ẩn có thể được thực hiện bởi những người có rất ít hiểu biết về hệ thống nhận diện giọng nói. Chúng tôi đưa ra phương pháp tấn công cơ bản về việc tạo ra các lệnh có khả năng thực thi với bất kỳ hệ thống nhận diện giọng nói nào".
Nghiên cứu kết luận rằng các công cụ nhận diện giọng nói tốt hơn, hoặc chứng thực giọng nói cần được tích hợp vào giao diện giọng nói của điện thoại thông minh để có thể được kiểm soát bởi người sở hữu thiết bị. Nghiên cứu cũng đề xuất thực thi "các bộ lọc" để đảm bảo chỉ những lệnh bằng giọng nói rõ ràng mới được điện thoại thực hiện.
Theo ibtimes.co.uk