فرمان‌ها صوتی جاسازی شده در ویدئوهای یوتیوب می‌توانند گوشی هوشمند شما را کنترل کنند!

محققان کشف کرده‌اند که مجموعه‌ای از فرمان‌ها صوتی که به‌صورت مخفی در ویدئوهای یوتیوب جاسازی شده‌اند می‌توانند گوشی‌های هوشمند اندروید و یا iOS را وادار کنند تا به انجام رفتارهای مخرب بپردازند.

هنگامی که در سال گذشته، دو محقق امنیتی فرانسوی از آژانس ANSSI از امواج رادیویی برای ارسال پیام‌های مخفی به دستگاه‌هایی که از نرم‌افزارهای Siri یا Google Now استفاده می‌کردند، بهره بردند؛ کنترل کردن گوشی‌های هوشمند با فرمان‌ها صوتی محقق شد. این حملات تنها زمانی ممکن بود که هدفون دستگاه به آن متصل بود.

انجام حمله‌ی یوتیوب ساده‌تر است.

گروهی از هفت محقق از دانشگاه کالیفرنیا، برکلی و جرج تاون نوعی از این حملات را ابداع کرده‌اند که از دستورات صوتی دستکاری‌شده‌ی مخفی در ویدئوهای یوتیوب استفاده می‌کند.

این حمله زمانی کار می‌کند که کاربر به مشاهده‌ی یک ویدئوی آلوده‌ی یوتیوب می‌پردازد که حاوی دستورات مخفی است. این ویدئوها می‌توانند از رایانه‌ها، لپ‌تاپ‌ها، تلویزیون‌های هوشمند، تبلت‌ها و یا دیگر گوشی‌های هوشمند نیز که در اطراف دستگاه قرار دارند، پخش شوند.

هنگامی که گوشی همراه مورد هدف، صداهای دستکاری‌شده را دریافت کند؛ قابلیت‌های پالایش صدا که در نرم‌افزارهای Siri یا Google now وجود دارند می‌توانند صداها را پالایش کرده و دستورات آن‌ها را اجرا کنند.

محققان یک ویدئو از این حملات ضبط کرده‌اند و در آن نشان داده‌اند که برخی از صداهای ضبط‌شده درصورتی‌که انسان با دقت به آن‌ها گوش کند قابل شنیدن برای شخص هستند اما برخی دیگر خیر. (مدل جعبه سفید).

گستردگی حملات می‌توانند از یک شوخی تا توزیع بعد از افزار باشند

این حملات می‌توانند متوقف شوند، اما همچنین ممکن است قبل از اینکه صاحب گوشی متوجه شود که واقعاً چه اتفاقی در حال رخ دادن است، اجرا شوند.

نوع این دستورات مخفی جاسازی شده در چنین ویدئوهایی از جستجوهای ساده‌ی گوگل شروع شده و تا دستورالعمل‌هایی برای بارگیری و نصب بدافزار ادامه می‌یابند؛ که در نهایت می‌توانند موجب کنترل کامل دستگاه توسط مهاجم شوند.

۱_۶۱

محققان بر این باور هستند که می‌توان مجموعه‌ای از شیوه‌های دفاعی را در برابر آن‌ها به کار گرفت که از جمله اطلاع دادن به کاربر در هنگامی که دستورات صوتی پذیرفته می‌شوند و یا اضافه کردن یک سامانه چالش کلامی برای اجرای این دستورات است.

جزییات فنی این حمله را می‌توان در مقاله‌ی فرمان‌های مخفی صوتی این محققان که در وب‌گاه رسمی این پروژه در دسترس است، یافت. نمونه‌های تصویری دیگری نیز در یوتیوب در دسترس است، اما مطمئن شوید که ابتدا ورود دستورات صوتی گوشی خود را غیرفعال کرده باشید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.