Alexa, Siri ve diğer sesli asistanlarda siber saldırı riski

Hackerların cep telefonlarından bilgisayarlara, otonom sistemlerden kalp pillerine kadar pek çok cihaza, genellikle bu cihazlardaki güvenlik açıkları sayesinde sızdıkları bilinen bir gerçek. Çinli araştırmacılar ise bugüne kadar bir hack girişimine rastlamadığımız sesli asistanlarla ilgili korkunç bir güvenlik açığını ortaya çıkardı. Zhejiang Üniversitesi'ndeki ekibin ortaya çıkardığı açık ile Apple, Amazon, Google, Microsoft, Samsung ve Huawei'in sesli asistanlarına sızıp bu asistanların bulunduğu cihazları kontrol etmek mümkün.

Ekibin DolphinAttack olarak adlandırdığı yöntem insan kulağının duyamayacağı ancak akıllı cihazlardaki mikrofonların duyabileceği ses dalgaları ile sesli asistanlara komut göndermeye dayanıyor. İlk olarak normal insan sesindeki komutu ultrasonik frekanslara çeviren (20.000 Hz'den fazla) ekip, sonrasında ortaya çıkan sesi hoparlör ve ultrasonik transformatörle desteklenen normal bir telefonda oynattıklarında; sürekli açık olan sesli asistanların ultrasonik frekanstaki sese tepki verdiklerini gözlemledi. Üstelik ekip tüm parçaları 3$'dan bile daha az maliyetle bir araya getirdi. Böylece DolphinAttack'in hem masrafsız hem de oldukça kolay bir saldırı metodu olduğu ortaya koyuldu.

Yapılacakların Sınırı Yok

Saldırılan cihazlarda neler yapılabileceğini keşfetmek isteyen ekip, bu yöntemle sadece "Hey Siri" ya da "Okey Google" gibi komutlar vermekle yetinmedi. Sızılan bir iPhone üzerinden bir telefon numarası aramayı başaran ekip, iPad ile FaceTime üzerinden görüşme de yaptı. Araştırmacılar ayrıca sızdıkları cihazları ''dolphinattack.com'' gibi web sitelerine de yönlendirerek Siri, Google Asistan, Samsung S Voice ve Alexa gibi ses asistanlarının bulunduğu cihazların, kötü amaçlı yazılımların olduğu web siteleri aracılığıyla kolay bir şekilde savunmasız bırakılabileceğini gözler önüne serdi. Sınırları epey zorlayan ekip sesli asistan aracılığıyla Audi Q3 model bir otomobilde navigasyon rotasını da değiştirmeyi başardı.

Görüleceği üzere kötü niyetli kişilerin bu yöntemi kullanması halinde yapabileceği pek çok şey var ancak kullanıcıların da kendilerine korumak adına alabilecekleri bir önlem mevcut. Sesli asistana sahip cihazların sahipleri, asistanların ayarlarını değiştirerek ''her zaman açık'' özelliğini kapatırsa hackerların işi biraz daha zor olacaktır. Hackerlar bir ultrasonik dalga yardımıyla sesli asistanların aktif edebilir ancak bu durumda asistanlar bir ses çıkararak ya da cevap vererek kullanıcının, saldırıyı fark etmesini sağlar.

Ses Aralığının Değiştirilmesi Gerek

Araştırmacıların sunduğu bir diğer önlem ise ancak asistanları geliştiren şirketlerin yapabileceği bir yenilik. Üreticiler, cihazları 20KHz 'nin üstündeki ses dalgalarını görmezden gelecek şekilde elden geçirirse sesli asistanlar sadece normal insan seslerine tepki verecek bir hale gelebilir ancak şirketler, daha geniş ses aralıkları sayesinde asistanların daha başarılı sonuçlar verdiğini dile getiriyor.

DolphinAttack ile bir iPhone'un nasıl kontrol edildiğini aşağıdaki videodan izleyebilirsiniz: