Команда благородных хакеров-исследователей из Калифорнийского университета в Беркли и Джорджтаунского университета обнаружили возможность взлома мобильных устройств с помощью скрытых голосовых команд в видероликах на YouTube.


Чтобы устройство было атаковано, пользователю-жертве надо просто посмотреть специальный ролик на YouTube. По словам исследователей, такие команды неразборчивы для слушателя-человека, но интерпретируются как команды самими устройствами.

Видео даже необязательно запускать на самом устройстве, оно может воспроизводиться рядом на ноутбуке, десктопе или даже телевизоре, главное, что звуковые команды будут получены голосовыми помощниками Google Now или Apple Siri. Как только команды распознаются и расшифруются голосовыми помощниками, она начнут выполняться.

С помощью такого подхода злоумышленники могут скомандовать смартфону или планшету загрузить вредоносный код, изменить настройки и так далее.

В огромном отчете об исследовании, рассказывается о двух способах реализации такого рода атак. Метод под названием black-box (черный ящик) позволяет атаковать устройства с неизвестной системой распознавания речи, а метод white-box (белый ящик) — устройства с известной системой распознавания речи.

В качестве решения проблемы исследователи рекомендуют просто выводить на устройстве оповещения при получении и выполнении голосовых команд.

Источник