マイク・ピーターソン
· 2分で読めます
この攻撃は人間の耳には聞こえないが、ユーザーに知られずにメッセージを読んだり、詐欺電話をかけたり、写真を撮ったりするのに使用される可能性がある。
セキュリティ研究者らは、人間には通常聞こえない音である超音波を使って、Siriやその他のスマートフォンのデジタルアシスタントを密かに乗っ取る方法を発見した。
SurfingAttackと呼ばれるこのエクスプロイトは、高周波で聞こえない音波を利用してデバイスのデジタルアシスタントを起動し、操作します。過去にも同様の攻撃が確認されていますが、SurfingAttackは、テーブルなどの固体材料を介した音波の伝播に着目しています。
研究者たちは、テーブルの下側に取り付けた5ドルの圧電トランスデューサーを使用して、これらの超音波を送信し、ユーザーに知られずに音声アシスタントを起動できることを発見しました。
研究チームは、これらの聞こえない超音波を使用して、音声アシスタントを起動し、電話をかけたり、写真を撮ったり、2要素認証パスコードを含むメッセージを読んだりするコマンドを発行することができた。
攻撃をさらに隠蔽するため、研究者らはまず、デバイスの音量を下げるという聞こえないコマンドを送信し、その後、テーブルの下に隠した別のデバイスを使用して応答を記録した。
SurfingAttackは合計17台のデバイスでテストされ、そのほとんどに対して有効であることが確認されました。一部のApple iPhone、Google Pixel、Samsung Galaxyデバイスがこの攻撃に対して脆弱ですが、この研究ではどのiPhoneモデルがテストされたかは明らかにされていません。
Siri、Google アシスタント、Bixby を含むすべてのデジタル アシスタントが脆弱です。
Huawei Mate 9とSamsung Galaxy Note 10+のみがこの攻撃を回避しましたが、研究者たちはその理由をそれぞれの素材の音響特性の違いによるものとしています。また、テーブルクロスをかけたテーブルでは攻撃の効果が低いことも指摘しています。
この技術は、ほとんどの音声制御デバイスで使用されており、音波や光波を使用可能なコマンドに変換できる小さな振動板を備えたデバイスの MEMS マイクの非線形性を利用するものです。
SurfingAttackはスマートフォンには有効ですが、Amazon EchoやGoogle Homeなどのスマートスピーカーには機能しないことを研究チームは発見しました。主なリスクは、カフェのテーブルやオフィスのデスクなど、事前に隠されたデバイスにあるようです。
この研究は、セントルイス・ワシントン大学、ミシガン州立大学、中国科学院、ネブラスカ大学リンカーン校からなる多国籍の研究者チームによって発表されました。2月24日にサンディエゴで開催されたネットワーク分散システムセキュリティシンポジウムで初めて発表されました。
SurfingAttackは、脆弱性を悪用するために聞こえない音波が利用された初めての事例ではありません。この研究は、同様の名前のDolphinAttackを含む、いくつかの過去の研究プロジェクトを踏襲しています。
