Berta Sándor
A beszédparancsokkal is vissza lehet élni
Biztonsági kutatók arra hívták fel a figyelmet, hogy megkaparinthatók az eszközök beszédvezérlési funkciói.
A Berkeley Egyetem és a Georgetown Egyetem kutatócsoportjai kiderítették, hogy a rejtett beszédparancsokkal visszaélhetnek a bűnözők azért, hogy feltörhessék az okostelefonokat és az okosórákat. Mindez azt jelenti, hogy az Apple Watch és az Android Wear okosórák, valamint más, beszéddel vezérelhető készülékek komoly biztonsági kockázatokat rejtenek.
A szakemberek bemutatták, hogy képesek voltak rosszindulatú parancsokat úgy elrejteni, hogy a felhasználók azokat egyáltalán nem vették észre. A különböző termékek viszont nagyon is érzékenyek, így észlelték a kísérleteket és végrehajtották a parancsokat. Az utasításokat két módon adták ki: az egyik esetben a beszéd torz volt, az emberek által érthetetlen, de okostelefonok és az okosórák a torzított felvételek ellenére végrehajtották a parancsokat. A második esetben a szakértők különböző effektusokat használtak. Az első esetben gyakorlatilag minden kereskedelmi forgalomban kapható Androidot és iOS-t futtató eszközt be tudtak csapni.
Beszédparancsokkal így utasítás adható, például az eszközök a Twitteren megjelentethetik a felhasználó aktuális tartózkodási helyét. Lehetőség van DoS-támadások végrehajtására, még akkor is, ha az okostelefon vagy az okosóra éppen repülő üzemmódba van kapcsolva. Ami különösen aggasztó, hogy minden jelenleg használt rendszer támadható így, és ha a bűnözők még jobban kiismerik a megoldásokat, akkor még fejlettebb akciókat is végrehajthatnak.
Öröm az ürömben, hogy a felhasználók nincsenek teljesen kiszolgáltatva az elkövetőknek, tudnak védekezni, ha akarnak. Az egyik védekezési mechanizmus az lehet, ha meghatározzák, hogy az okostelefonjuk vagy okosórájuk csak akkor hajtson végre bármilyen beszédparancsot, ha előtte az ujjlenyomatukkal azonosították magukat. Be lehet vezetni audio-CAPTCHA-t is, amelynél a felhasználónak szintén meg kell erősítenie egy parancsot, mielőtt azt végrehajtaná a rendszer. Persze ezek sem teljesen biztonságosak: 2011-ben a Stanford Egyetem, a Tulane Egyetem és a francia Inria (Institut national de recherche en informatique et automatique) kutatói egy olyan rendszert fejlesztettek ki, amelynek segítségével feltörhetők az audio-CAPTCHA-k.
A Berkeley Egyetem és a Georgetown Egyetem kutatócsoportjai kiderítették, hogy a rejtett beszédparancsokkal visszaélhetnek a bűnözők azért, hogy feltörhessék az okostelefonokat és az okosórákat. Mindez azt jelenti, hogy az Apple Watch és az Android Wear okosórák, valamint más, beszéddel vezérelhető készülékek komoly biztonsági kockázatokat rejtenek.
A szakemberek bemutatták, hogy képesek voltak rosszindulatú parancsokat úgy elrejteni, hogy a felhasználók azokat egyáltalán nem vették észre. A különböző termékek viszont nagyon is érzékenyek, így észlelték a kísérleteket és végrehajtották a parancsokat. Az utasításokat két módon adták ki: az egyik esetben a beszéd torz volt, az emberek által érthetetlen, de okostelefonok és az okosórák a torzított felvételek ellenére végrehajtották a parancsokat. A második esetben a szakértők különböző effektusokat használtak. Az első esetben gyakorlatilag minden kereskedelmi forgalomban kapható Androidot és iOS-t futtató eszközt be tudtak csapni.
Beszédparancsokkal így utasítás adható, például az eszközök a Twitteren megjelentethetik a felhasználó aktuális tartózkodási helyét. Lehetőség van DoS-támadások végrehajtására, még akkor is, ha az okostelefon vagy az okosóra éppen repülő üzemmódba van kapcsolva. Ami különösen aggasztó, hogy minden jelenleg használt rendszer támadható így, és ha a bűnözők még jobban kiismerik a megoldásokat, akkor még fejlettebb akciókat is végrehajthatnak.
Öröm az ürömben, hogy a felhasználók nincsenek teljesen kiszolgáltatva az elkövetőknek, tudnak védekezni, ha akarnak. Az egyik védekezési mechanizmus az lehet, ha meghatározzák, hogy az okostelefonjuk vagy okosórájuk csak akkor hajtson végre bármilyen beszédparancsot, ha előtte az ujjlenyomatukkal azonosították magukat. Be lehet vezetni audio-CAPTCHA-t is, amelynél a felhasználónak szintén meg kell erősítenie egy parancsot, mielőtt azt végrehajtaná a rendszer. Persze ezek sem teljesen biztonságosak: 2011-ben a Stanford Egyetem, a Tulane Egyetem és a francia Inria (Institut national de recherche en informatique et automatique) kutatói egy olyan rendszert fejlesztettek ki, amelynek segítségével feltörhetők az audio-CAPTCHA-k.