Группа китайских исследователей доказала, что устройство за $3 может взломать систему голосовых помощников. Amazon, Google, Эппл и другие производители до сих пор не прокомментировали информацию об этой серьезной уязвимости. Татьяна Гомозова выясняла, насколько она опасна.
Фото: Олег Харсеев, Коммерсантъ / купить фото
Китайские исследователи нашли подход к голосовым помощникам на чужих гаджетах. Для взлома группа из Чжэцзянского университета использовала смартфон с самодельной приставкой стоимостью $3 — микрофон плюс усилитель. Преобразовав голосовую команду в ультразвук, они смогли скомандовать другому телефону набрать номер.
Человеческое ухо не слышит ультразвук, но его прекрасно распознают эти девайсы. Авторы называли свой способ взлома «атакой дельфина». Как показал эксперимент, с его помощью можно также приказать гаджету перейти на зараженный вирусом сайт, отпереть электронный замок и даже перепрограммировать автомобильный навигатор. В тесте использовали 16 устройств — от компаний Apple, Google, Amazon, Microsoft, Samsung и Huawei — то есть, всех лидеров рынка.
В некоторых случаях атака эффективна с расстояния полутора-двух метров — это касается часов Apple Watch, в других — необходимо приблизиться вплотную, так что для взлома управляющей «умным домом» колонки Amazon Echo, например, надо сперва попасть в дом. А вот взлом iPhone, теоретически, проблем не представляет — хакером может оказаться любой человек в толпе.
Впрочем, на практике все будет не так гладко, считает консультант по интернет-безопасности компании Cisco Алексей Лукацкий: «Это достаточно интересная, но не очень опасная уязвимость. Владелец при определенных условиях ничего не заметит: например, если у него отключено звуковое сопровождение на том же самом Siri или на каком-то другом голосовом помощнике. И мы должны понимать, что, если мы говорим об офисе либо о квартире, злоумышленник должен каким-то образом в этот офис или квартиру попасть, а в остальных случаях ему помешают и шумы вокруг, и нахождение телефона в сумке, где различные другие устройства, которые будут создавать помехи».
Производители пока не ответили на заявление исследователей. Если проблема подтвердится, то уязвимость наверняка устранят, но вопрос в том, как именно. По мнению экспертов, снижать чувствительность датчиков вряд ли имеет смысл — это может вызвать проблемы с распознаванием речи. Кроме того, некоторые смартфоны используют высокие звуковые частоты для связи с другими гаджетами.
Сами пользователи могут легко обезопасить себя, просто перестав использовать функцию постоянно: тогда, правда, она потеряет смысл. Проблема не в этой конкретной уязвимости. Работу «интернета вещей» еще только предстоит упорядочить, уверен ведущий аналитик Mobile Research Group Эльдар Муртазин: «Не важно, что используется для взлома. Сегодня проблема многих устройств заключается в том, что, как правило, не шифруется передача данных между датчиком и головным устройством. Можно предполагать, что злоумышленник может легко перехватить контроль. Сегодня вся индустрия без исключения двигается как раз-таки в сторону шифрования протоколов, создания этого слоя безопасности, когда будет понятно, что перехватить нельзя, а если даже и можно, то нужно использовать значительные ресурсы».
А вот с чем никакое шифрование не справится, так это с существующими условиями использования гаджетов. Абсолютно все, кто покупает программное обеспечение или электронные устройства, прежде всего, принимают лицензионное соглашение. Его никто не читает, но там обычно написано, что ответственность в случае подобных сбоев лежит на владельце. Так что если кто-то все-таки пострадает от «атаки дельфина» — это будет его личная проблема.
По прогнозу консалтинговой компании J'son & Partners, к концу 2024 года почти 3 млн российских домохозяйств будут использовать технологии «умного дома».