Một cuộc tấn công mô phỏng trong phòng nghiên cứu ở một trường đại học đã phát hiện ra một lỗ hổng bảo mật khá nguy hiểm từ các micrô được các “anh, chị” trợ lý thông minh (Alexa, Siri, Google) sử dụng và nó có thể bị hack từ xa bằng cách sử dụng tia laser và khoảng cách để thực hiện có cách xa tới 100m.
Khi sử dụng thiết bị (hoặc ứng dụng) là chúng ta đã đồng ý cung cấp quyền riêng cho Apple Siri, Google Assistant hoặc Amazon Alexa trên các thiết bị hoặc ứng dụng đó và còn hơn thế nữa là những anh chị này đương nhiên có quyền truy cập vào các thông tin trong cuộc sống hàng ngày của chúng ta (như hình ảnh cá nhân, email v.v…). Nghiên cứu mới đã khẳng định không thể ngăn chặn hoặc yêu cầu các công ty lớn từ bỏ những chính sách về người dùng cá nhân này
Các nhà nghiên cứu tại Nhật Bản và Đại học Michigan mới đây đã tuyên bố rằng họ đã phát hiện ra một cách để điều khiển Siri, Google Assistant, Facebook Portal và Alexa (ứng dụng trợ lý kỹ thuật số ) từ xa và khoảng cách có thể lên tới trên 100 mét bằng ánh sáng laser và thậm chí bằng những chiếc đèn pin thông thường.
Vấn đề bắt nguồn từ một lỗ hổng bảo mật phần cứng của micrô đó là MEMS (hay còn gọi là hệ thống vi cơ điện tử) và nó được sử dụng bởi hầu hết tất cả các công ty phát triển ứng dụng trợ lý thông minh. Theo các nhà nghiên cứu, lỗ hổng bảo mật này khó phát hiện và cho phép kẻ tấn công từ xa thông qua các lệnh điều khiển thiết bị đó một cách vô hình và vô âm bằng cách dùng các chùm tia sáng tác động trực tiếp lên thiết bị micrô có lỗ hổng bảo mật, và nó có thể gián tiếp điều khiển các ứng dụng “anh, chị” trợ lý thông minh.
*MEMS: microelectro-mechanical systems
Các nhà nghiên cứu cho biết, họ phát hiện ra lỗ hổng này trong quá trình nghiên cứu và sử dụng các câu lệnh bằng ánh sáng. Để giải thích một cách dễ hiểu, micrô sử dụng trên các thiết bị thông minh ngoài âm thanh, nó còn phản ứng với ánh sáng khi nhắm trực tiếp vào chúng. Do đó, bằng cách điều chỉnh tín hiệu điện theo cường độ của các chùm tia sáng, cách tấn công này có thể lừa micrô và tạo ra tín hiệu điện thế tương tự như thể chúng đang nhận được âm thanh khi phát ra từ giọng nói.
Để chứng minh điều đó, các nhà nghiên cứu đã trèo lên một tháp chuông 42m( có độ cao tầm toà nhà 4t ầng) tại Đại học Michigan, sau đó điều khiển thành công một thiết bị Google Home trên tầng bốn của một tòa nhà văn phòng cách đó khoảng 70m. Họ cũng chứng minh rằng bằng cách tập trung ánh sáng laser, họ có thể ra lệnh trợ lý thông minh từ khoảng cách trên 100 mét.
Một điều khá may mắn là để thực hiện một cuộc tấn công bằng ánh sáng này cũng không phải đơn giản. Điều kiện cần thiết là phải có đường ngắm trực tiếp để ánh sáng có thể tác động đến mục tiêu, vì vậy ánh sáng rất dễ bị nhìn thấy, và sau đó chính là những âm thanh phát ra từ thiết bị sau khi bị điều khiển.
Các nhà nghiên cứu cũng chỉ ra rằng với một số thiết bị phức tạp của phòng thí nghiệm có thể ngoài khả năng của các hacker tay mơ. Tuy nhiên phần lớn thì các thiết bị trong cuộc tấn công mô phỏng tương đối rẻ và dễ dàng mua được. Các thiết bị mô phỏng bao gồm 4 thiết bị chính như sau và giá chỉ khoảng dưới 600$
1. Đèn chiếu laser 14$,
2. Bộ điều khiển laser 340$
3. Bộ khuếch đại âm thanh 28$
4. Ống kính tele 200$ (được gắn trên chân đỡ máy ảnh để giúp lấy nét tia sáng từ đèn laser)
Nghiên cứu này đã phản ánh một ngành công nghiệp AI đang phát triển chưa đảm bảo đầy đủ các nguyên tắc bảo mật cho các thiết bị thông minh có quyền truy mọi thứ đến cuộc sống của chúng ta, từ việc mở khoá cửa nhà cho đến việc quản lý lịch làm việc trong máy tính của mỗi người v.v…
Mối quan tâm đặc biệt đối với các nhà nghiên cứu là trên thực tế là các thiết bị này và các hệ thống kết nối với chúng, không được yêu cầu bất kỳ loại mã PIN bảo mật nào trước khi thực hiện các tác vụ có khả năng nhạy cảm (như mở khoá cửa nhà, xe, mua sắm hàng hoá trên mạng v.v..). Và ngay cả khi mã PIN được thiết lập trên các thiết bị được kết nối, các nhà nghiên cứu cũng tin rằng những mã PIN chỉ với 4 số đơn giản cũng có thể bị bẻ khoá một cách dễ dàng.
Họ đã chỉ ra cách tấn công này có thể sử dụng thay những khẩu lệnh bằng giọng nói của khổ chủ để mở khóa cửa được bảo vệ bởi khóa thông minh, mở cửa nhà để xe, hoặc mua sắm trên các trang web thương mại điện tử, và thậm chí xác định vị trí từ hệ thống định vị, mở khóa và khởi động các loại xe hơi như Tesla và Ford nếu nó được kết nối với tài khoản Google
Mặc dù các nhà nghiên cứu cho biết họ chỉ thử nghiệm với Facebook, Google Assistant, Alexa, Siri cùng với một số máy tính bảng và điện thoại thông minh. Tuy nhiên họ tin rằng bất kỳ thiết bị nào sử dụng micrô MEMS đều có thể bị tấn công. Điều này khiến toàn bộ ngành công nghiệp phải suy nghĩ về sự thay thế của dòng micrô này với yêu cầu gắt gao hơn về tính bảo mật
[box type=”warning”] Hiện tại bên ngoài việc đóng rèm của nhà, các nhà nghiên cứu cho biết, không có biện pháp phòng thủ thực sự nào trước cuộc tấn công kiểu này, dù họ hiện đang làm việc với Google, Apple và Amazon để phát triển các biện pháp phòng thủ tiềm năng để đưa vào các mô hình trong tương lai. Cuối cùng, điều này cũng đã khẳng định một điều rằng “HIỆN ĐẠI ĐÔI KHI CŨNG HẠI ĐIỆN” [/box]
Nguồn
https://lightcommands.com/