Sons inaudíveis podem ser usados para ataques a assistentes de voz

Sons inaudíveis podem ser usados para ataques a assistentes de voz

A maioria dos ataques são realizados de forma direta aos dispositivos, seja por via de malware, acesso direto ou outros similares. No entanto, existe uma forma de ataque que pode ser igualmente prejudicial e é praticamente invisível – ou neste caso, inaudível.

Um grupo de investigadores desenvolveram o que ficou conhecido como “Near-Ultrasound Inaudible Trojan” (NUIT). Basicamente, trata-se de um trojan que pode lançar ataques silenciosos através de ondas de som. Este sistema tira proveito dos sistemas de assistentes pessoais e comandos por voz para realizar possíveis ataques aos utilizadores.

Um grupo de investigadores da Universidade do Texas e do Colorado demonstraram como é possível usar ondas de som inaudíveis para os utilizadores, mas que podem realizar ações em assistentes como a Siri, Google Assistente e Alexa.

Com este, é possível enviar comandos de voz através de ondas sonoras que os utilizadores não podem ouvir, abrindo a possibilidade para ataques e roubos de dados.

O principio do NUIT consiste no facto que os microfones presentes em dispositivos da Internet das Coisas, dispositivos inteligentes e smartphones são capazes de capturar sons que o ouvido humano simplesmente não consegue.

Este género de ataques pode ser implementado de forma relativamente simples. Bastaria um site contendo musica de fundo, onde o utilizador, ao abrir o mesmo, poderia ativar comandos para os assistentes próximos.

Isto será ainda mais grave para dispositivos que estejam interligados para realizar ações mais complexas. Como exemplo, sistemas de assistente que tenham controlo sobre aspetos da casa, onde comandos de som inaudível podem ser enviados para abrir uma porta ou janela, por exemplo.

Isto abre o potencial de riscos para os utilizadores, que podem ser alvo de ataques ou terem os seus dispositivos alvo de abusos para os mais variados fins. Existem duas formas sob como o ataque pode ser realizado.

A primeira será usando uma aplicação maliciosa, que de forma silenciosa pode ficar a emitir comandos de som inaudíveis para o dispositivos em segundo plano. Este som pode ser reproduzido diretamente pelo altifalante do dispositivo, e o mesmo reconhece também o som como um comando de voz.

O segundo modo de ataque será usando dispositivos externos, como colunas inteligentes, para enviar os comandos diretamente para outros dispositivos. Este método envolve usar um segundo dispositivo a emitir os sons, invés de ser de origem no próprio dispositivo.

Os investigadores demonstraram o funcionamento deste género de ataques através de comandos que são vulgarmente usados pelos assistentes para controlo do lar e similares. No entanto os mesmos podem também ser usados para roubos de dados dos dispositivos – por exemplo, pode-se enviar um comando para que o assistente abra um determinado site malicioso ou envie conteúdos sensíveis para um contacto especifico.

Os investigadores afirmam que, de 17 dispositivos testados, todos estariam vulneráveis a este género de ataques. O único que ainda demonstrou alguns esforços para conter o mesmo terá sido a Siri, que em alguns modelos possui uma assinatura de voz do utilizador, e requer que os atacantes consigam emular a voz dos utilizadores dos dispositivos para realizarem as tarefas.

Os detalhes deste estudo serão apresentados durante o evento USENIX Security Symposium, previsto para os dias 9 e 11 de Agosto de 2023 nos EUA.