[1151]. Короткое наглядное видео опубликовано на странице https://youtu.be/21HjF4A3WE4. Исследователям из Принстонского университета удалось достичь аналогичных результатов с Google Assistant, в том числе с помощью скрытых команд заставить смартфон фотографировать и включать режим «В самолете»[1152]. На скрытые команды могут реагировать и другие устройства, поддерживающие голосовой ввод, например телевизоры или оборудование «умного» дома. Подробно схема потенциальной атаки рассматривается в докладе Шень Шена из Иллинойсского университета[1153].
К примеру, по ссылке https://youtu.be/z_qtSTNt_p0 можно прослушать модифицированную запись, в которой на фоне речи человека звучит скрытая команда «Отключить камеру наблюдения и открыть входную дверь». В случае этой атаки на устройство Amazon Echo скрытая команда звучит как тихий случайный шум, практически неразличимый на фоне громкой речи, но на нее реагирует голосовой помощник.
Вероятны еще менее заметные атаки с помощью ультразвуковых команд, воспринимаемых ASR-системами. В одном случае ультразвуковой трафик направляется на устройство (например, «умную» колонку или смартфон) по воздуху. Этот способ не слишком удобен: устройство, излучающее ультразвук (динамик), имеет большие габариты; атаке могут помешать преграды на пути от излучателя к микрофону IoT-девайса. Другой способ не связан с такими проблемами. Производится так называемая SurfingAttack, в процессе которой ультразвуковые команды передаются через твердые материалы. Например, злоумышленник может закрепить небольшое устройство-излучатель с оборотной стороны стола и воздействовать на девайс жертвы, когда та положит его на стол. Переданные таким образом команды позволяют управлять голосовым помощником в устройстве жертвы, если настройки ASR-системы это допускают.
Кроме того, как выяснилось[1154], микрофоны ASR-систем, работающих под управлением Amazon Alexa, Apple Siri и Google Assistant, реагируют на команды, переданные с помощью лазерного луча. Исследователи из США и Японии смогли открыть гараж с помощью «умной» колонки, передав ей соответствующую команду из соседнего здания. Атака оказалась успешной, так как в результате фотоакустического эффекта волны, создаваемые лазерным лучом, воздействуют на тончайшую мембрану микрофона девайса. С помощью мерцания лазера можно передавать любые инструкции для голосового помощника. Атака возможна, если микрофон атакуемого устройства (колонки, смартфона, планшета и т. п.) находится в прямой видимости от источника лазерного излучения на расстоянии от 5 до 110 м[1155].
Злоумышленники, инструктируя ASR-систему IoT-устройства или смартфона, потенциально могут, к примеру, читать сообщения и звонить на транслируемые в ходе атаки номера телефонов. Из-за технических сложностей массовая атака на множество устройств, по крайней мере в ближайшее время, вряд ли возможна. Но злоумышленники могут вести SurfingAttack на конкретного человека[1156].
Примечание. Дополнительные примеры команд, спрятанных на фоне речи, музыки и пения птиц, опубликованы на странице https://adversarial-attacks.net/index.html#example.
Эксплуатируя подобные уязвимости, злоумышленники могут публиковать или рассылать аудио– и видеозаписи со скрытыми командами – например, для загрузки фишинговых приложений или перенаправления на фишинговые сайты и передачи персональных данных на удаленные серверы[1157].
Случайные команды
Слова-триггеры могут совпадать с именами, названиями и прочими словами, упоминаемыми в разговоре. Произнесение этих слов может приводить к активации голосового помощника и фиксации дальнейшего разговора. Известны случаи, когда голосовой помощник улавливал «обращение к себе» и записывал следующий за ним фрагмент разговора, который затем, в результате таких же случайных команд, оказывался известен третьим лицам[1158].
КЕЙС В 2017 г. вышел эпизод мультсериала «Южный парк», в котором герои мультфильма с помощью «умной» колонки Amazon Echo покупают разные непристойные товары и ставят будильник на 7 утра. Позднее оказалось, что аналогичные устройства пользователей, смотревших эпизод, также попытались заказать схожие товары и настроили будильники[1159]. В другом случае компания Burger King, выпустив на телеэкраны рекламу гамбургера «Воппер», описание которого ищут в Google герои ролика (говоря «ОК, Google, что такое „Воппер“?»), вызывала активацию многих смартфонов и прочих устройств с помощником Google. Девайсы телезрителей также стали искать в интернете информацию о «Воппере»[1160].
Для предотвращения таких инцидентов разработчики устройств с ASR-системами предусматривают дополнительные способы обеспечения безопасности, в частности распознавание голоса и смену ключевой фразы, активирующую виртуального помощника, на пользовательскую.
КЕЙС В 2017 г. 6-летняя девочка из США разговаривала с устройством Amazon Echo и попросила голосового помощника купить ей кукольный домик и поиграть с ней. Устройство отправило заказ на сайт Amazon, и через некоторое время удивленные родители увидели на пороге дома курьера с покупкой. Самое интересное, что, когда снятый журналистами сюжет транслировался по телевидению, устройства Amazon Echo некоторых телезрителей среагировали на произнесенную с телеэкрана команду и также попытались приобрести в Amazon кукольные домики[1161].
Угрозу может представлять даже использование подключенных детских игрушек, о чем мы уже говорили в главе 6. Следует отметить особенную важность защиты таких устройств как производителем, так и родителями. Во-первых, если дети самостоятельно регистрируют и настраивают аккаунт/приложение, они не интересуются вопросами конфиденциальности и используют слабые пароли, игнорируют параметры безопасности (например, аккаунт виден всем, а не только «друзьям») и т. п. Даже если настройки произведены взрослым, с соблюдением мер безопасности, ребенок способен случайно или намеренно изменить их, что может привести к утечке персональных данных или взлому. Во-вторых, общаясь с «умным» устройством, дети могут сообщить персональную информацию, которую родители предпочли бы держать в тайне. Риск существенно возрастает, если доступ к управлению «умной» игрушкой получают злоумышленники. В ходе MitM-атаки они могут разговаривать с ребенком от лица игрушки и пугать его[1162], выведывать уязвимую информацию (например, просить прочитать цифры на банковской карте родителей), организовать квартирную кражу или даже похищение ребенка (с помощью игрушки попросить его открыть дверь, сказав, что на улице его ждут родители).
КЕЙС В 2015 г. Федеральное сетевое агентство Германии рекомендовало покупателям куклы My Friend Cayla уничтожить игрушку из-за проблем с безопасностью в Bluetooth-соединении. Играя с куклой Cayla, ребенок общается с ней, задавая ей вопросы и отвечая на ее вопросы. Игрушка записывает речь ребенка и передает ее на смартфон, где соответствующее приложение преобразует речь в текст, а затем ищет ответ в своей базе данных или сервере компании-разработчика. Далее ответ пересылается кукле и озвучивается. Оказалось, что политика конфиденциальности допускает обработку записей на сервере компании-разработчика и передачу их сторонним компаниям, например рекламным. Кроме того, злоумышленник мог подключиться к незащищенному каналу связи между игрушкой и приложением и перехватывать или даже подменять аудиозаписи, подслушивать речь ребенка и задавать ему вопросы, например: «Когда родителей нет дома?»[1163]
Такие же уязвимости, как Cayla, имеет кукла Hello Barbie компании Mattel[1164], записывающая разговоры в MP3-файлы и размещающая их в незашифрованном виде в облаке. В пользовательском соглашении указано, что разговоры анализируются сотрудниками компании для выявления случаев насилия над ребенком, а в случае преступления компания уведомляет полицию. Функция обнаружения подозрительной активности действует также в режиме ожидания, т. е. когда игрушка не используется: Hello Barbie записывает все происходящее вокруг[1165].
Серверы другого производителя интерактивных игрушек, компании Spiral Toys, взламывали не менее трех раз, что приводило к утечке персональных данных и аудиозаписей пользователей. Компания производит плюшевых животных CloudPets[1166]. Могут быть взломаны и сами игрушки. Согласно результатам исследования[1167], можно, находясь от игрушек на расстоянии 10–30 м, получить несанкционированный доступ к ним с помощью смартфона с приложением, сканирующим диапазон частот, на которых работают BLE[1168] -устройства. Злоумышленник может скачать аудиозаписи разговоров с игрушкой, подключиться к микрофону, а также загрузить модифицированную прошивку (обновления не подписываются и не шифруются, проверяется только контрольная сумма CRC16).
КЕЙС