Magazine Gadgets

Découvrir l’inouï : des chercheurs révèlent des cyberattaques à distance inaudibles sur des assistants vocaux | UTSA aujourd’hui | UTSA

Publié le 20 mars 2023 par Mycamer

“La chose techniquement intéressante à propos de ce projet est que la solution de défense est simple ; cependant, pour obtenir la solution, nous devons d’abord découvrir quelle est l’attaque”, a déclaré Xu.

L’approche la plus populaire utilisée par les pirates pour accéder aux appareils est l’ingénierie sociale, a expliqué Chen. Les attaquants incitent les individus à installer des applications malveillantes, à visiter des sites Web malveillants ou à écouter de l’audio malveillant.

Par exemple, l’appareil intelligent d’un individu devient vulnérable lorsqu’il regarde une vidéo YouTube malveillante intégrant des attaques audio ou vidéo NUIT, que ce soit sur un ordinateur portable ou un appareil mobile. Les signaux peuvent discrètement attaquer le microphone sur le même appareil ou s’infiltrer dans le microphone via les haut-parleurs d’autres appareils tels que les ordinateurs portables, les systèmes audio des véhicules et les appareils domestiques intelligents.

“Si vous lisez YouTube sur votre téléviseur intelligent, ce téléviseur intelligent a un haut-parleur, n’est-ce pas ? Le son des commandes malveillantes NUIT deviendra inaudible, et il peut également attaquer votre téléphone portable et communiquer avec vos appareils Google Assistant ou Alexa. Cela peut même arriver dans Zooms pendant les réunions. Si quelqu’un se réactive, il peut intégrer le signal d’attaque pour pirater votre téléphone qui est placé à côté de votre ordinateur pendant la réunion », a expliqué Chen.

Une fois qu’ils ont un accès non autorisé à un appareil, les pirates peuvent envoyer des commandes d’action inaudibles pour réduire le volume d’un appareil et empêcher l’utilisateur d’entendre la réponse d’un assistant vocal avant de procéder à d’autres attaques. Le haut-parleur doit être au-dessus d’un certain niveau de bruit pour permettre une attaque réussie, a noté Chen, tandis que pour mener une attaque réussie contre les assistants vocaux, la durée des commandes malveillantes doit être inférieure à 77 millisecondes (ou 0,77 seconde).

« Il ne s’agit pas seulement d’un problème logiciel ou d’un logiciel malveillant. C’est une attaque matérielle qui utilise Internet. La vulnérabilité est la non-linéarité de la conception du microphone, que le fabricant devrait corriger », a déclaré Chen. “Sur les 17 appareils intelligents que nous avons testés, les appareils Apple Siri doivent voler la voix de l’utilisateur tandis que d’autres appareils d’assistance vocale peuvent être activés en utilisant n’importe quelle voix ou une voix de robot.”

NUIT peut faire taire la réponse de Siri pour réaliser une attaque imperceptible car le volume de la réponse de l’iPhone et le volume du média sont contrôlés séparément. Une fois ces vulnérabilités identifiées, Chen et son équipe proposent des lignes de défense potentielles aux consommateurs. La sensibilisation est la meilleure défense, dit le chercheur de l’UTSA. Chen recommande aux utilisateurs d’authentifier leurs assistants vocaux et de faire preuve de prudence lorsqu’ils cliquent sur des liens et accordent des autorisations de microphone.

Elle conseille également l’utilisation d’écouteurs au lieu de haut-parleurs.

« Si vous n’utilisez pas le haut-parleur pour diffuser du son, vous êtes moins susceptible d’être attaqué par NUIT. L’utilisation d’écouteurs définit une limite où le son des écouteurs est trop faible pour être transmis au microphone. Si le microphone ne peut pas recevoir la commande malveillante inaudible, l’assistant vocal sous-jacent ne peut pas être activé de manière malveillante par NUIT », a expliqué Chen.

La recherche en vue du développement de NUIT a été partiellement financée par une subvention du Programme de partenariat pour les institutions au service des minorités (MSIPP) du Département de l’énergie de l’Administration nationale de la sécurité nucléaire (NNSA). La subvention de 5 millions de dollars soutient la recherche du Consortium sur la sécurité des infrastructures critiques nationales (CONCISE) et permet la création d’une certification liée à l’utilisation de l’intelligence artificielle (IA) et de la technologie de la chaîne de blocs pour améliorer la posture de cybersécurité des infrastructures critiques.

UTSA est un leader reconnu à l’échelle nationale dans le domaine de la cybersécurité. C’est l’un des rares collèges ou universités du pays – et la seule institution hispanique au service – à avoir trois désignations de centres nationaux d’excellence académique du département américain de la sécurité intérieure et de l’agence de sécurité nationale.

De plus, l’université abrite cinq centres et instituts de recherche sur la cybersécurité : le Cybersecurity Manufacturing Innovation Institute, le National Security Collaboration Center, l’Institute for Cyber ​​Security, le Center for Infrastructure Assurance and Security et le Cyber ​​Center for Security and Analytics.

to www.utsa.edu


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931



Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines