Qu’est-ce qui vient de se passer? Les assistants vocaux et les appareils intelligents ont une vulnérabilité connue contre les attaques par ultrasons. Les chercheurs ont maintenant développé deux nouveaux exploits ultrasoniques qui pourraient mettre en danger des millions d’appareils. Des commandes non entendues peuvent être envoyées lors d’une téléconférence ou en personne.

Des chercheurs de l’Université du Texas, de San Antonio et de l’Université du Colorado ont développé de nouvelles attaques par ultrasons appelées NUIT, ou cheval de Troie inaudible proche des ultrasons, qui peuvent exploiter les vulnérabilités des appareils IoT équipés d’un microphone et des assistants vocaux tels que Apple Siri, Google Assistant. , et Microsoft Cortana. Les attaques sont inaudibles pour les humains, mais elles peuvent effectivement transformer des appareils intelligents en appareils potentiellement malveillants.

Les chercheurs prévoient de dévoiler publiquement les nouvelles attaques au cours de la A venir 32e USENIX Security Symposium, du 9 au 11 août, à Anaheim, Californie. L’équipe de recherche a fourni une Aperçu démonstration à The Register, montrant deux attaques distinctes – NUIT-1 et NUIT-2.

Le premier envoie des signaux proches des ultrasons à un haut-parleur intelligent pour compromettre le microphone et l’assistant vocal sur le même appareil. La seconde exploite le haut-parleur d’une victime pour attaquer le microphone et l’assistant vocal sur un autre appareil.

Les attaques NUIT fonctionnent en modulant les commandes vocales en signaux quasi ultrasonores, que l’oreille humaine ne peut pas détecter, mais que les assistants vocaux peuvent. Les instructions modulées en NUIT-1 sont extrêmement rapides, d’une durée inférieure à 77 millisecondes. Cette période correspond au temps de réaction moyen des quatre assistants vocaux installés dans les multiples appareils testés par des chercheurs américains.

Publicité

2023 04 05 Image 21

Les chercheurs ont testé NUIT-1 comme une attaque « silencieuse de bout en bout ». Siri s’est avéré totalement vulnérable à NUIT-1. Les chercheurs ont pu contrôler le volume d’un iPhone avec une instruction silencieuse de moins de 77 ms (« parler six pour cent ») pour réduire le volume du smartphone à 6 %. Une deuxième instruction silencieuse (« ouvrez la porte ») leur a permis d’utiliser Siri pour ouvrir la porte d’entrée de la victime via l’application Home d’Apple.

L’attaque NUIT-2 envoie des signaux ultrasonores intégrés via une téléconférence comme une réunion Zoom. Ce vecteur permet aux pirates d’exploiter à distance un téléphone à proximité. Les attaques NUIT-2 n’ont pas la fenêtre temporelle de 77 ms, ce qui permet aux chercheurs d’essayer des commandes plus complexes.

Les chercheurs ont testé les deux attaques contre 17 appareils différents, dont plusieurs modèles d’iPhone, un MacBook Pro 2021, un MacBook Air 2017, un système Dell Inspiron 15, des téléphones et tablettes Samsung Galaxy, Amazon Echo Dot de première génération, Apple Watch 3, Google Pixel 3, Google Home, etc. Ils ont atteint différents niveaux de succès avec des réponses silencieuses et audibles des appareils compromis.

L’iPhone 6 Plus était le seul appareil qui s’est avéré invulnérable à la fois au NUIT-1 et au NUIT-2. Les chercheurs ont expliqué que cela était dû au fait que l’appareil de 2014 utilise probablement un amplificateur à faible gain, tandis que les iPhones plus récents utilisent un gain élevé. Un autre problème pertinent découvert par l’équipe est que l’exploit NUIT-1 ne fonctionne que si la distance entre le haut-parleur et le microphone de l’appareil n’est pas trop grande.

Les chercheurs ont déclaré que les utilisateurs devraient éviter d’acheter des appareils conçus avec le haut-parleur et le micro rapprochés pour éviter d’être victimes d’attaques NUIT-1 ou NUIT-2. L’utilisation d’écouteurs atténue efficacement les exploits car les signaux sonores sont trop faibles pour être enregistrés sur le microphone. L’activation de l’authentification vocale sur les assistants personnels (si possible) limitera l’utilisation non autorisée. De plus, les fabricants d’appareils pourraient mettre fin à toute la catégorie des attaques par ultrasons en développant de nouveaux outils pour reconnaître (et rejeter) les commandes inaudibles intégrées dans des fréquences proches des ultrasons.

Rate this post
Publicité
Article précédentVoici quand des millions de téléphones mobiles à travers le Royaume-Uni émettront une alarme sonore lors du premier test du système d’alerte d’urgence
Article suivantThe Outer Banks Voice – Wise obtient la perpétuité sans libération conditionnelle pour le meurtre de deux hommes de Manteo, l’affaire est résolue par un accord de plaidoyer
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici