211service.com
Les commandes ultrasoniques secrètes peuvent contrôler votre smartphone, disent les chercheurs
Les assistants numériques à commande vocale sont de plus en plus courants et sophistiqués. Google, Apple, Amazon, de nombreux constructeurs automobiles et d'autres autorisent tous le contrôle vocal de leurs appareils. Et cela, bien sûr, donne aux attaquants malveillants un moyen tentant de cibler ces appareils.
De nombreuses personnes disposant d'appareils à commande vocale auront subi des activations anormales lorsque l'appareil réagit à la voix d'autres personnes ou interprète le bruit externe comme une commande. Il n'est donc pas difficile d'imaginer comment un pirate pourrait tenter une attaque en utilisant un haut-parleur à proximité. Cependant, de telles attaques sont facilement déjouées par un utilisateur averti qui peut également entendre les commandes.
Mais cela soulève une question intéressante : est-il possible d'activer des assistants à commande vocale à l'aide de commandes inaudibles ?
Aujourd'hui, nous obtenons une réponse grâce au travail de Guoming Zhang et Chen Yan et de quelques copains de l'Université du Zhejiang en Chine. Ils ont développé un système appelé DolphinAttack qui utilise des messages à ultrasons pour activer des assistants numériques, tels que Siri, Google Now et le système de navigation à commande vocale Audi. Ces messages sont entièrement inaudibles pour l'oreille humaine et représentent une nouvelle menace importante, explique l'équipe.
Le principe de l'attaque est simple. Les microphones utilisés dans les appareils électroniques modernes sont conçus pour convertir le son audible en signaux électroniques. Il s'agit d'un son dont la fréquence est inférieure à environ 20 KHz, la limite généralement acceptée de l'audition humaine.
Les microphones ont une membrane déformable qui vibre lorsqu'ils sont frappés par des ondes sonores. Cette vibration modifie la capacité d'un circuit interne, convertissant ainsi le son en forme électronique.
De par leur conception, ces membranes ne sont pas particulièrement sensibles aux fréquences ultrasonores. Et dans tous les cas, les signaux de fréquence plus élevée sont filtrés par l'électronique de l'appareil.
Mais Guoming et co ont trouvé un moyen de jouer avec ces appareils. L'astuce consiste à utiliser une fréquence ultrasonique dont l'amplitude est modulée par la fréquence de la parole ordinaire. Ainsi, l'ultrason agit comme une onde porteuse pour le message parlé.
Il s'avère que les membranes des microphones peuvent capter de tels signaux, même s'ils sont inaudibles pour l'homme.
Cela ouvre une boîte de Pandore de méfaits potentiels. Guoming et co ont testé l'approche sur des appareils tels que divers iPhones Apple, un LG Nexus 5X, un Samsung Note S6 edge, un Amazon Echo et un système de navigation Audi Q3, pour n'en nommer que quelques-uns.
Certains de ces assistants fonctionnent avec n'importe quelle voix, comme Echo d'Amazon. D'autres ne peuvent être activés que par une voix spécifique, bien que les commandes suivantes puissent être de n'importe quelle voix. Dans ce cas, l'équipe chinoise dit qu'il est simple d'essayer plusieurs voix différentes pour en trouver une suffisamment similaire pour terminer l'activation.
(Une observation courante est que les personnes ayant des voix similaires peuvent activer le téléphone à commande vocale de l'autre.)
L'équipe a ensuite utilisé un Samsung Galaxy S6 edge connecté à un haut-parleur à ultrasons pour tester l'attaque à la fois en laboratoire et dans le monde réel avec un bruit de fond.
Les résultats sont déconcertants. Nous montrons que les commandes vocales de DolphinAttack, bien que totalement inaudibles et donc imperceptibles pour les humains, peuvent être reçues par le matériel audio des appareils et correctement comprises par les systèmes de reconnaissance vocale, disent Guoming et co.
L'équipe a utilisé le système pour persuader Siri de lancer un appel FaceTime sur un iPhone, pour forcer Google Now à passer un téléphone en mode avion et même pour manipuler le système de navigation d'une automobile Audi.
Des commandes plus avancées sont clairement possibles. Nous pensons que cette liste n'est de loin pas exhaustive, disent les chercheurs.
Cela rendra la lecture inconfortable pour les propriétaires soucieux de la sécurité de ces appareils. Il n'est pas difficile d'imaginer comment un utilisateur malveillant pourrait exploiter cette faiblesse pour lancer secrètement des appels qui écoutent les conversations, pour éteindre un téléphone pour l'empêcher de recevoir des données ou pour réutiliser le système de navigation sur une voiture à commande vocale.
Et à mesure que les systèmes à commande vocale deviennent plus performants, la menace devient plus grande et plus inquiétante. Le dernier assistant de Google est nettement plus performant que les incarnations précédentes, par exemple.
Guoming et co disent que la menace peut être atténuée. Le moyen le plus évident est de reconcevoir les microphones pour réduire leur sensibilité aux ondes porteuses ultrasonores. Cela devrait être simple, mais cela n'aide pas les millions de personnes qui possèdent déjà un smartphone, un assistant ou une voiture à risque.
Pour ce groupe, une solution logicielle est plus pratique. Les commandes ultrasoniques diffèrent des signaux vocaux naturels de plusieurs manières uniques qui devraient être faciles à repérer. Développer un tel système ne devrait pas être trop compliqué, bien que le livrer à des millions d'utilisateurs le soit.
En attendant, un smartphone modifié capable de mener ce type d'attaque est facile à construire. Ce qui signifie que des millions d'appareils intelligents dans le monde sont menacés.
Réf : arxiv.org/abs/1708.09537 : DolphinAttack : commandes vocales inaudibles