Команда специалистов из Джорджтаунского университета и университета в Беркли сообщила об обнаружении схемы взлома мобильных устройств при помощи скрытых голосовых команд в обычных роликах на YouTube.
Для атаки жертве достаточно просто запустить специально подготовленный ролик на популярном видеохостинге. Такие команды неразборчивы для пользователя, однако воспринимаются как конкретные команды самим устройством.
При этом видео даже не обязательно запускать на атакуемом устройстве – можно использовать другое устройство, расположенное рядом (телевизор, ноутбук и т.п.). Главное, чтобы голосовые инструкции смогли распознаться голосовыми помощниками (Apple Siri или Google Now).
Данная схема позволяет злоумышленнику отдать команду на загрузку вредоносного кода, изменение важных настроек и т.д. В отчете специалисты рассмотрели два способа организации атаки. Первый, получивший название black-box (черный ящик), позволяет осуществить атаку на устройство с неизвестной программой распознавания речи. Второй метод получил название white-box и используется, если система распознавания речи известна.
Для решения данной проблемы исследователи рекомендуют просто демонстрировать на устройстве оповещение при получении голосовых команд.