Được đặt tên là "Lệnh ánh sáng", kiểu tấn công này dựa vào lỗ hổng trong microphone MEMS được nhúng vào các hệ thống điều khiển bằng giọng nói phổ biến, nó vô tình phản ứng với ánh sáng như thể đó là âm thanh.
Theo các thí nghiệm được thực hiện bởi nhóm các nhà nghiên cứu từ trường đại học Nhật Bản và Michigan, hacker có thể tấn công các thiết bị trong phạm vi bán kính vài mét bằng cách điều chỉnh biên độ của ánh sáng laser để tạo ra sóng áp suất âm.
Trợ lý giọng nói thông minh trong điện thoại, máy tính bảng và các thiết bị thông minh khác (như Google Home, Nest Cam IQ, Amazon Alexa, Echo, Facebook Portal, Apple Siri) đều bị tấn công một cách dễ dàng bằng tín hiệu dựa trên ánh sáng.
"Như vậy, bất kỳ hệ thống nào sử dụng microphone MEMS và hoạt động trên dữ liệu này mà không có xác nhận bổ sung của người dùng đều có thể bị tấn công", các nhà nghiên cứu cho biết. Kỹ thuật này cho phép kẻ tấn công gửi lệnh như một người dùng hợp pháp, tác động của một cuộc tấn công như vậy phụ thuộc vào mức độ truy cập mà trợ lý giọng nói của người dùng có trên các thiết bị hoặc dịch vụ được kết nối khác.
Do đó, với các cuộc tấn công bằng lệnh ánh sáng, những kẻ tấn công cũng có thể chiếm quyền điều khiển bất kỳ hệ thống thông minh nào được gắn vào các trợ lý điều khiển bằng giọng nói bị nhắm tới, ví dụ như: Điều khiển nhà thông minh; Mở cửa gara thông minh; Mua hàng trực tuyến; Mở khóa từ xa và khởi động một số phương tiện; Mở khóa thông minh bằng cách dò số PIN của người dùng.
Trong một thử nghiệm, các nhà nghiên cứu chỉ cần bắn tia laser vào Google Home là đã có thể mở thành công một nhà để xe của Google Home. Trong một thử nghiệm khác, các nhà nghiên cứu cũng đã gửi thành công lệnh tương tự từ một tòa nhà khác, cách thiết bị mục tiêu khoảng 70 mét thông qua một cửa sổ bằng kính.
Bên cạnh các thiết bị tầm xa, các nhà nghiên cứu cũng thành công trong các cuộc thử nghiệm tấn công đối với nhiều thiết bị điện thoại thông minh sử dụng trợ lý giọng nói, bao gồm iPhone XR, Samsung Galaxy S9 và Google Pixel 2 nhưng ở trong khoảng cách ngắn.
Phạm vi tối đa cho cuộc tấn công này phụ thuộc vào độ mạnh của tia laser, cường độ ánh sáng và khả năng ngắm bắn của kẻ tấn công. Bên cạnh đó, các rào cản vật lý và sự hấp thụ sóng siêu âm trong không khí cũng có thể làm giảm phạm vi tấn công.
Ngoài ra, trong trường hợp bật nhận dạng giọng nói, kẻ tấn công có thể đánh bại tính năng xác thực loa bằng cách xây dựng bản ghi lệnh thoại mong muốn từ các từ có liên quan mà chủ sở hữu hợp pháp từng nói.
Theo các nhà nghiên cứu, các cuộc tấn công này có thể được thực hiện một cách dễ dàng và tốn ít chi phí bằng cách sử dụng một thiết bị trỏ laser đơn giản (khoảng 20 USD), trình điều khiển laser (339 USD) và bộ khuếch đại âm thanh (28 USD). Ống kính tele (199,95 USD) có thể được sử dụng để lấy nét laser cho các cuộc tấn công tầm xa.
Các nhà sản xuất phần mềm nên cung cấp cho người dùng thêm một lớp xác thực bổ sung trước khi xử lý các lệnh để giảm thiểu các cuộc tấn công độc hại.
Hiện tại, giải pháp tốt nhất và phổ biến là che tầm nhìn của các thiết bị trợ lý giọng nói và tránh cho phép truy cập.
.png)
Nhóm các nhà nghiên cứu gồm giáo sư Takeshi Sugawara từ Đại học Điện tử Truyền thông Nhật Bản và ông Fu, Daniel Genkin, Sara Rampazzi và Benjamin Cyr từ Đại học Michigan. Genkin cũng là một trong những nhà nghiên cứu đã phát hiện ra hai lỗ hổng vi xử lý lớn Meltdown và Spectre vào năm 2018.
Nguyễn Anh Tuấn
theo The Hacker News
14:00 | 20/01/2021
14:00 | 23/11/2017
15:00 | 21/10/2019
16:00 | 09/01/2020
15:00 | 17/05/2019
17:00 | 12/03/2025
Trong bối cảnh kinh tế toàn cầu biến động do xung đột địa chính trị và cạnh tranh gia tăng, doanh nghiệp không chỉ phải tăng trưởng mà còn phải phát triển bền vững, Đảng ủy Công ty Cổ phần Phân bón Dầu khí Cà Mau (PVCFC) giữ vai trò lãnh đạo, định hướng chiến lược, hài hòa phát triển kinh tế với trách nhiệm xã hội, củng cố vị thế vững chắc trong nước và khu vực.
10:00 | 05/03/2025
Thời gian gần đây, các ứng dụng như Beautycam, BeautyPlus, Fitroom liên tục lọt vào top những ứng dụng được tải về nhiều nhất tại Việt Nam. Nhờ khả năng sử dụng trí tuệ nhân tạo (AI) để thay đổi trang phục trong ảnh, những ứng dụng này nhanh chóng trở thành trào lưu trên mạng xã hội. Tuy nhiên, bên cạnh sự tiện lợi và sáng tạo, những ứng dụng này cũng đang đặt ra không ít lo ngại về tin giả, hình ảnh phản cảm và nguy cơ lạm dụng công nghệ.
10:00 | 17/02/2025
Ứng dụng DeepSeek của Trung Quốc đã gây chú ý khi trở thành ứng dụng miễn phí phổ biến nhất trên App Store, tuy nhiên nó cũng kéo theo nỗi lo nhất định.
08:00 | 29/01/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngay sau kỳ nghỉ Tết 2025, Tổng công ty Điện lực miền Nam (EVNSPC) đã bắt tay vào công việc. Trên công trường các dự án đầu tư xây dựng lưới điện 110 kV, không khí làm việc luôn được tập trung cao độ với tinh thần làm việc xuyên ngày nghỉ.
14:00 | 14/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
Hai năm sau sự xuất hiện của ChatGPT, mô hình trí tuệ nhân tạo (AI) DeepSeek của Trung Quốc đã ra mắt và mở ra cuộc đua phát triển AI giá rẻ trên toàn cầu.
09:00 | 07/03/2025
