Видео с котятами совершенно безопасно, не так ли? За исключением случаев, когда оно позволяет перехватить контроль над телефоном пользователя.
Исследователи обнаружили кое-что новенькое в Интернете, о чём следует побеспокоиться. Оказывается, приглушенный голос, скрытый в безобидном видео на YouTube, может выдавать команды на находящиеся рядом смартфоны без ведома их владельцев.
Исследователи описывают новую угрозу в своей научно-исследовательской работе, которая будет представлена в следующем месяце на симпозиуме по безопасности USENIX в Остине.
Функция распознавания голоса была быстро внедрена в телефонах, благодаря таким сервисам, как Google Now и Siri от Apple, но голосовое программное обеспечение также позволяет взламывать мобильные устройства, предупреждает профессор Джорджтаунского университета и один из авторов исследования Михей Шерр.
Учёные обнаружили, что они могут настолько искажать голосовые команды, что люди перестают распознавать слова, но программа по-прежнему остаётся способной делать это. В результате слова превращаются в демоническое рычание.
«Ok Google, открой XKCD.com», — говорит голос, и близлежащий телефон открывает страничку с этим URL-адресом.
Легко представить себе, как хакер может направить телефон на сайт, содержащий вредоносные программы, или дать команду телефону сделать снимок.
Это не будет срабатывать каждый раз — ведь это игра чисел. Из миллиона человек, просматривающих видео с котёнком, содержащее секретные команды, у 10 тысяч пользователей, возможно, телефон будет находиться рядом. Если 5 тысяч из них загрузят без своего ведома страничку с вредоносными программами, «5 тысяч смартфонов попадут под контроль злоумышленников», — сказал Шерр.
Если хакеры знают все тонкости программного обеспечения для распознавания голоса, они могут создавать голосовые команды, которые трудно распознать людям.
При тестировании телефонов с Android образцы зашифрованных голосовых команд иногда шли незамеченными или были плохо слышны. Когда голос спросил: «Какое моё текущее местоположение?», Google Now услышал это как слово, означающее «отсроченный выбор».
Но при других попытках всё срабатывало отлично. Другим примером стала голосовая команда телефону включить режим «в самолёте», которая была успешно выполнена.
Чтобы защититься от этой угрозы, разработчики программного обеспечения по распознаванию речи могут добавить фильтры, чтобы различать голос человека от генерируемых машиной звуков.
Источник: gearmix