זהירות: סכנת תקיפה באמצעות מכשירים המשתמשים בעוזרת קולית

באחרונה נחשף אופן תקיפה חדש בסייבר – שיטת תקיפה חריגה, המכונה NUIT. זו התגלתה על ידי אקדמאים, ונכון לעכשיו אין דיווחים על ניצול של השיטה למתיחות תמימות או לפשעי סייבר של ממש. אלא שכעת מזהירים חוקרי ESET, כי "תמיד כדאי להיות מודעים לדרכים נוספות שבהן ניתן לסכן את הפרטיות והאבטחה שלכם – NUIT יכולה להופיע בשתי צורות שונות".

חוקרי ESET מסבירים כי NUIT, ראשי תיבות של סוס טרויאני בלתי-שמיע (Near-Ultrasound Inaudible Trojan), הוא סוג מתקפות שניתן להשתמש בו כדי להפעיל מרחוק מכשירים המשתמשים בעוזרות קוליות, כמו Siri, Google Assistant, Cortana ו-Amazon Alexa, באופן שקט ומרוחק. כך, כל מכשיר המקבל פקודות קוליות – הטלפון, הטאבלט או הרמקול החכם – עלול לשמש כפתח למתקפה שכזאת, הטומנת בחובה תוצאות הרסניות: החל מפגיעה בפרטיות ואובדן אמון וכלה בפריצה לתשתיות של עסקים.

חוקרים מאוניברסיטת טקסס בסן אנטוניו (UTSA) ובקמפוס קולורדו ספרינגס של אוניברסיטת קולורדו (UCCS) ציינו, כי מתקפת NUIT מתאפשרת, כיוון שמיקרופונים של עוזרות דיגיטליות יכולים להגיב לגלי קול המתקרבים לאולטרה-סאונד ומושמעים מרמקול. המשתמשים, מנגד – לא יוכלו לשמוע את הפקודה הקולית הזאת.

בעבר התגלו מתקפות הפועלות בדפוסי פעילות דומים: SurfingAttack, DolphinAttack, LipRead ו-SlickLogin.

NUIT מגיעה בשתי צורות: NUIT 1, כשהמכשיר הוא גם מקור המתקפה וגם מטרת המתקפה. אז, כל שצריך לעשות הוא להפעיל קובץ שמע בטלפון, הגורם למכשיר לבצע פעולה מסוימת, כמו שליחת הודעת טקסט הכוללת את מיקום המכשיר. בצורה של NUIT 2, המתקפה מופעלת על ידי מכשיר הכולל רמקול, המכוונת למכשיר הכולל מיקרופון, למשל – ממחשב לרמקול חכם.

כך, לדוגמה, אם אתם מאזינים להרצאה ב-Teams או בזום, אחד המשתתפים יכול לבטל את ההשתקה שלו ולהפעיל קובץ שמע, שייקלט על ידי הטלפון שלכם ויגרום לו להיכנס לאתר מסוכן ולהדביק את המכשיר בנוזקה.

החוקרים ציינו כי לא נדרש הרבה כדי שהמתקפה תעבוד: הרמקול צריך להיות מופעל בעוצמת שמע מסוימת, והפקודה צריכה להיות באורך של פחות משנייה – 77 מאיות ה-שנייה. בנוסף, העוזרת הקולית צריכה להיות מופעלת.

על פי החוקרים, מבין כל 17 המכשירים שנבדקו, רק מכשירי אפל שהופעלה בהם Siri היו קשים יותר לפיצוח. זאת מכיוון שהאקר יצטרך קודם לגנוב את טביעת הקול הייחודית שלכם כדי שהטלפון יקבל את הפקודות.

חוקרי ESET ממליצים לכולם להגדיר את העוזרות הקוליות שלהם, כך שיקבלו אך ורק פקודות מהקול האישי שלהם. לחלופין, כדאי לשקול כיבוי של העוזרת הקולית כשאינה בשימוש, וכמובן, לשמור על ערנות גבוהה בזמן שימוש בכל מכשיר IoT, כיוון ש"מכשירים חכמים עלולים לשמש טרף קל לפושעי סייבר".