Спецпроекты

Google Home, Amazon Echo и Facebook Portal можно взломать лучом лазерной указки через окно

Безопасность Техника

Микрофоны устройств вроде Google Home и Amazon Echo могут «путать» воздействие лазерного луча со звуковыми волнами, так что им можно относительно незаметно давать команды с весьма приличного расстояния

Свет и звук

Персональные помощники, такие как Google Home, Amazon Echo, Facebook Portal, а также их программные варианты, используемые в смартфонах и планшетах, можно заставить выполнять произвольные команды с помощью лазерных лучей, которые можно сгенерировать, задействовав даже общедоступные устройства (указки, фонарики и пр.)

Такой вывод сделали исследователи из Университета электронных коммуникаций в городе Тёфу (Япония) и Университета штата Мичиган (США). Как выяснили эксперты, модулируя луч, направленный на микрофон устройства, можно вызвать в нем точно такие же электромеханические колебания, которые формируются при воздействии звуковых волн.

Иными словами, с помощью лазерного луча можно имитировать голосовые команды, причем с расстояния, иногда превышающего сто метров.

Для успешного воздействия на голосовые помощники исследователи использовали обычную лазерную указку, систему управления лазером Wavelength Electronics за $339, а также систему звукоусиления Neoteck NTK059 за $28. Плюс компьютер, который воспроизводил записанные голосовые команды.

«Персональные помощники» можно обманывать с помощью лазерного луча

Отмечается, что лазерная указка — не единственная возможность для осуществления атаки: дальнобойный лазерный фонарь AceBeam W30 тоже позволял довольно успешно ее производить.

Что именно под угрозой

Исследователи опробовали большое количество разных персональных помощников — в списке значатся два варианта Google Home, Google Pixel 2, Google NEST CamIQ и смартфона Samsung Galaxy S9, использующие систему распознавания голоса Google Assistant, семь модификаций Amazon Echo, а также Fire CubeTV, Echo Bee4 и Facebook Portal Mini, — устройств, использующих Amazon Alexa, iPhone XR и iPad шестого поколения (Siri).

В зависимости от устройства, минимальная необходимая мощность лазера значительно варьировалась. Например, самым чувствительным оказалось устройство Google Home. С расстояния 30 см ему достаточно было воздействия 0,5-милливаттного лазера, чтобы послушно выполнить «команду». Наименее чувствительным оказался Samsung Galaxy S9: с расстояния 30 см потребовалось поднять мощность лазерного луча до 60 милливатт.

Как «здрасте» ночью через форточку

При значении 60 мВт экспертам удалось успешно воздействовать на большую часть устройств с расстояния более 50 м. Исключение составили Google Home mini (предельное расстояние — 20 м), Fire Cube TV (20 м), iPad 6th Gen (20 м), iPhone XR (10 м), Samsung Galaxy S9, Google Pixel 2 и Facebook Portal Mini «слушались» только если источник лазерного луча находился на расстоянии не более 5 м.

Google Home и Echo Plus первого поколения оказались восприимчивы к пятимилливаттному лазеру с расстояния более 110 м. Echo Bee 4 — с расстояния 70 м, Echo Plus второго поколения — 50 м.

«Таким образом, некоторые голосовые помощники теоретически можно скомпрометировать с помощью лазерного луча через окно из дома напротив или с крыши, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — В зависимости от настроек и разрешений компьютерной системы, к которой подключен персональный помощник, становится возможной и компрометация персональных данных, в ней хранящихся. С другой стороны, практическая эксплуатация может быть довольно затруднительной — слишком много условий необходимо соблюсти для успешной атаки. Переоценивать степень угрозы пока не стоит».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Стратегия месяца

Периферийные вычисления перемещаются в центр внимания