音声アシスタントは、クライアントとの約束をしたり、音楽を再生したりするなど、日常の家事をサポートします。音声アシスタント関連の市場には、Google、Siri、Alexa、Bixby など、選択肢がたくさんあります。これらのアシスタントは音声コマンドを使用して起動され、作業を実行します。たとえば、Alexa に好きな曲を再生してもらうことができます。これらのデバイスはハイジャックされ、デバイスの所有者に対して使用される可能性があります。今日は、について学びますサーフィン攻撃超音波の使用とそれが引き起こす潜在的な問題。
サーフィンアタックとは何ですか?
スマート デバイスには、Google Home Assistant、Amazon の Alexa、Apple の Siri などの音声アシスタントや、あまり人気のない音声アシスタントが搭載されています。インターネット上で定義が見つからなかったので、次のように定義します。
「サーフィン攻撃とは、所有者に知られずにデバイス所有者のデータにアクセスする目的で、超音波などの不可聴音を使用して音声アシスタントをハイジャックすることを指します。」
人間の耳は、ある範囲の周波数 (20 Hz ~ 20 KHz) の間の音のみを知覚できることはすでにご存知かもしれません。人間の耳の可聴スペクトルの外にある音声信号を誰かが送信した場合、その人はその信号を聞くことができません。超音波についても同様です。その周波数は人間の耳の知覚を超えています。
悪者たちは超音波を使用して、音声コマンドを使用するスマートフォンやスマート ホームなどのデバイスを乗っ取り始めました。これらの音声コマンドは人間の知覚を超えた周波数であるため、ハッカーは音声アシスタントの助けを借りて、必要な情報 (音声起動のスマート デバイスに保存されている) を取得できます。彼らはこの目的のために、聞こえない音を使用します。
サーフィン攻撃の場合、ハッカーは音声アシスタントを使用してスマート デバイスを制御するためにスマート デバイスの目の前にいる必要はありません。たとえば、iPhone がテーブルの上に置かれている場合、人々は音声が空中を移動できると想定するため、音声コマンドが空中を伝わればハッカーに気づくことができます。しかし、音声波の伝播に必要なのは導体だけであるため、そうではありません。
固体のアーティファクトも、振動できる限り音声の伝播に役立つことを知っておいてください。木製のテーブルでも、音声の波は木を通過する可能性があります。これらは、ターゲット ユーザーのスマートフォンや、Google Home や Alexa などの音声アシスタントを使用するその他のスマート デバイス上で、違法に物事を実行するためのコマンドとして使用される超音波です。
読む: とは何ですかパスワードスプレー攻撃?
サーフィン攻撃はどのように機能しますか?
聞こえない超音波は、機械が保管されている表面を通過する可能性があります。たとえば、電話が木製のテーブルの上にある場合、サーフィン攻撃用の超音波を送信できるマシンをテーブルに取り付けるだけで済みます。
実際には、被害者のテーブルや被害者が音声アシスタントを置くために使用している表面にデバイスが取り付けられています。このデバイスは、被害者が何も疑わないように、まずスマート アシスタントの音量を下げます。コマンドはテーブルに接続されているデバイスを介して送信され、コマンドに対する応答も同じマシンまたは離れた場所にある他の何かによって収集されます。
たとえば、「アレクサ、今受け取った SMS を読んでください」というコマンドが与えられる場合があります。このコマンドは室内にいる人には聞こえません。 Alexa は、OTP (ワンタイム パスワード) を含む SMS を非常に小さな声で読み上げます。ハイジャックデバイスは再びこの応答をキャプチャし、ハッカーが望む場所に送信します。
このような攻撃はサーフィン攻撃と呼ばれます。技術者ではない人でもこの問題を理解できるように、記事からすべての専門用語を削除するように努めました。高度な読書については、こちらをご覧ください研究論文へのリンクそのほうがよく説明されます。
