Được đặt tên là "Lệnh ánh sáng", kiểu tấn công này dựa vào lỗ hổng trong microphone MEMS được nhúng vào các hệ thống điều khiển bằng giọng nói phổ biến, nó vô tình phản ứng với ánh sáng như thể đó là âm thanh.
Theo các thí nghiệm được thực hiện bởi nhóm các nhà nghiên cứu từ trường đại học Nhật Bản và Michigan, hacker có thể tấn công các thiết bị trong phạm vi bán kính vài mét bằng cách điều chỉnh biên độ của ánh sáng laser để tạo ra sóng áp suất âm.
Trợ lý giọng nói thông minh trong điện thoại, máy tính bảng và các thiết bị thông minh khác (như Google Home, Nest Cam IQ, Amazon Alexa, Echo, Facebook Portal, Apple Siri) đều bị tấn công một cách dễ dàng bằng tín hiệu dựa trên ánh sáng.
"Như vậy, bất kỳ hệ thống nào sử dụng microphone MEMS và hoạt động trên dữ liệu này mà không có xác nhận bổ sung của người dùng đều có thể bị tấn công", các nhà nghiên cứu cho biết. Kỹ thuật này cho phép kẻ tấn công gửi lệnh như một người dùng hợp pháp, tác động của một cuộc tấn công như vậy phụ thuộc vào mức độ truy cập mà trợ lý giọng nói của người dùng có trên các thiết bị hoặc dịch vụ được kết nối khác.
Do đó, với các cuộc tấn công bằng lệnh ánh sáng, những kẻ tấn công cũng có thể chiếm quyền điều khiển bất kỳ hệ thống thông minh nào được gắn vào các trợ lý điều khiển bằng giọng nói bị nhắm tới, ví dụ như: Điều khiển nhà thông minh; Mở cửa gara thông minh; Mua hàng trực tuyến; Mở khóa từ xa và khởi động một số phương tiện; Mở khóa thông minh bằng cách dò số PIN của người dùng.
Trong một thử nghiệm, các nhà nghiên cứu chỉ cần bắn tia laser vào Google Home là đã có thể mở thành công một nhà để xe của Google Home. Trong một thử nghiệm khác, các nhà nghiên cứu cũng đã gửi thành công lệnh tương tự từ một tòa nhà khác, cách thiết bị mục tiêu khoảng 70 mét thông qua một cửa sổ bằng kính.
Bên cạnh các thiết bị tầm xa, các nhà nghiên cứu cũng thành công trong các cuộc thử nghiệm tấn công đối với nhiều thiết bị điện thoại thông minh sử dụng trợ lý giọng nói, bao gồm iPhone XR, Samsung Galaxy S9 và Google Pixel 2 nhưng ở trong khoảng cách ngắn.
Phạm vi tối đa cho cuộc tấn công này phụ thuộc vào độ mạnh của tia laser, cường độ ánh sáng và khả năng ngắm bắn của kẻ tấn công. Bên cạnh đó, các rào cản vật lý và sự hấp thụ sóng siêu âm trong không khí cũng có thể làm giảm phạm vi tấn công.
Ngoài ra, trong trường hợp bật nhận dạng giọng nói, kẻ tấn công có thể đánh bại tính năng xác thực loa bằng cách xây dựng bản ghi lệnh thoại mong muốn từ các từ có liên quan mà chủ sở hữu hợp pháp từng nói.
Theo các nhà nghiên cứu, các cuộc tấn công này có thể được thực hiện một cách dễ dàng và tốn ít chi phí bằng cách sử dụng một thiết bị trỏ laser đơn giản (khoảng 20 USD), trình điều khiển laser (339 USD) và bộ khuếch đại âm thanh (28 USD). Ống kính tele (199,95 USD) có thể được sử dụng để lấy nét laser cho các cuộc tấn công tầm xa.
Các nhà sản xuất phần mềm nên cung cấp cho người dùng thêm một lớp xác thực bổ sung trước khi xử lý các lệnh để giảm thiểu các cuộc tấn công độc hại.
Hiện tại, giải pháp tốt nhất và phổ biến là che tầm nhìn của các thiết bị trợ lý giọng nói và tránh cho phép truy cập.
Nhóm các nhà nghiên cứu gồm giáo sư Takeshi Sugawara từ Đại học Điện tử Truyền thông Nhật Bản và ông Fu, Daniel Genkin, Sara Rampazzi và Benjamin Cyr từ Đại học Michigan. Genkin cũng là một trong những nhà nghiên cứu đã phát hiện ra hai lỗ hổng vi xử lý lớn Meltdown và Spectre vào năm 2018.
Nguyễn Anh Tuấn
theo The Hacker News
14:00 | 20/01/2021
14:00 | 23/11/2017
15:00 | 21/10/2019
16:00 | 09/01/2020
15:00 | 17/05/2019
09:00 | 08/01/2025
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
08:00 | 24/12/2024
Hội thảo khoa học quốc tế lần thứ nhất về Mật mã và An toàn thông tin (The IEEE International Conference on Cryptography and Information Securiry - VCRIS 2024) là sự kiện do Học viện Kỹ thuật mật mã phối hợp với các cơ quan khoa học uy tín trong và ngoài nước tổ chức, dưới sự chỉ đạo của Ban Cơ yếu Chính phủ. Phóng viên Tạp chí An toàn thông tin đã có cuộc phỏng vấn GS.TS Nguyễn Hiếu Minh, Phó Giám đốc Học viện Kỹ thuật mật mã, Ban Tổ chức Hội thảo VCRIS 2024 về ý nghĩa, mục tiêu và các nội dung liên quan đến Hội thảo.
16:00 | 06/12/2024
Với việc đưa Telegram vào danh sách hợp tác, Ủy ban tiêu chuẩn truyền thông Hàn Quốc có thể yêu cầu nền tảng này xử lý các nội dung xấu, độc như bóc lột tình dục và ma túy.
15:00 | 27/11/2024
Cục An toàn thông tin phát đi công văn cảnh báo đến các cơ quan nhà nước; tập đoàn, tổng công ty nhà nước, các doanh nghiệp cung cấp dịch vụ viễn thông, Internet và nền tảng số, tổ chức tài chính, ngân hàng thương mại cảnh báo chiến dịch tấn công có chủ đích của nhóm APT Earth Estries.
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
13:00 | 14/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Hãng công nghệ Google thông báo sẽ phát hành các ứng dụng điện toán lượng tử thương mại trong vòng 5 năm tới. Động thái này được xem là lời thách thức trực tiếp tới những dự đoán thận trọng hơn từ Nvidia, vốn cho rằng phải mất tới 20 năm nữa công nghệ này mới thực sự hữu dụng.
13:00 | 14/02/2025