Assistentes pessoais digitais facilitam ataques maliciosos

Publicado em 09/09/2017 02:01 em Segurança Informática

O blogue da empresa de segurança informática britânica Sophos, citando um estudo da Universidade chinesa de Zhejiang, indica que os assistentes digitais pessoais podem facilitar ataques maliciosos com comandos vocais dados em frequências que o utilizador não ouve.

Num texto de Taylor Armerding, a Sophos cita o relatório «Ataque de golfinhos: vozes de comando inaudíveis», produzido pela Universidade citada.

Indica que os investigadores universitários conseguiram dar comandos de voz ultra-sónicos a assistentes como o Siri (da Apple), Google Now (para Android), Samsung S Voice, Huawei HiVoice, Cortana (Microsoft) e Alexa (da Amazon) que podem levar o dispositivo a visitar um sítio Internet malicioso e efectuar aí download de software, espiar o utilizador iniciando remotamente chamadas de vídeo para captar imagens e sons ambientes, injectar informação falsa, enviar mensagens de texto e correio electrónico ou introduzir eventos falsos no calendário.

As ordens ao assistente pessoal não audíveis pelo utilizador permitem também ataques de negação de serviço, através de um comando para entrar em modo de voo ou desligar as ligações WiFi.

Os investigadores testaram também ataques com o Facetime em iPhones, tocar música em dispositivos da Amazon ou manipular o sistema de navegação de um automóvel, mudando o destino no GPS.

Os investigadores reconhecem que há limites significativos ao lançamento de ataques remotos porque implicam estar a curta distância do dispositivo da vítima, mas não será difícil consumar esses ataques em locais públicos, como os transportes públicos.

É necessário também que o ecrã esteja desbloqueado para que a maioria dos comandos ultra-sónicos possa funcionar, mas o Siri permite fazer uma chamada a partir da lista de contactos do utilizador sem o ecrã desbloqueado, embora não consiga fazer coisas de maior risco como abrir um sítio Web, abrir apps de terceiros ou fazer transacções financeiras, acrescenta Armerding.

Alerta que essas restrições não existem se alguém estiver a utilizar o telefone com o assistente pessoal activo e desbloquear o ecrã, ainda que seja possível ao utilizador detectar nesse caso que está a acontecer algo anómalo.

Os investigadores não deram sugestões para evitar o Ataque de Golfinho.

Soluções como modificar o microfone para só responder a comandos dentro das frequências da voz humana deparam-se com a opinião de especialistas de que o software de reconhecimento precisa de ouvir altas frequências para analisar o que as pessoas estão a dizer, segundo o artigo.

O autor salienta que um utilizador Apple pode simplesmente desligar, nas definições, o comando «Hey Siri» para iniciar os comandos de voz e passar a premir o botão «Home» para iniciar um comando vocal.

Ainda sem comentários