EN ÇOK OKUNAN HABERLER
Haberler Yükleniyor...
E-BÜLTENİMİZE ABONE OLUN!
Sektördeki son haberleri takip etmek
için ücretsiz haftalık bültenimize
abone olun...
Sektörden İş Fırsatları
Güvenlik sektöründeki iş fırsatlarını buradan takip edebilirsiniz! Aradığınız kariyer fırsatları burada...
HABER DETAYI
Siri'ye ''Sessiz Hack'' Şoku!
Akıllı telefonunuz size sormadan internette arama yapmaya, kısa mesaj göndermeye ve kötü niyetli web sitelerine göz atmaya başlasa ne olur? Bilgisayar korsanları, akıllı telefonunuzun kişisel asistanını kullanarak bunu yapabilir!
Çin'in Zhejiang Üniversitesi'nden bir güvenlik araştırma ekibi, sesli tanıma sistemlerini, ses asistanları genelinde görülen güvenlik açıklarından yararlanarak tek bir kelime bile söylemeden harekete geçirmenin akıllı bir yolunu keşfetti. DolphinAttack olarak adlandırılan saldırı tekniği, kişisel sesli asistanların komutlarını ultrasonik frekanslarla besleyerek çalışıyor. Bu yüksek frekansları insan kulağı algılayamıyor, ancak akıllı cihazlardaki mikrofonlar tarafından mükemmel şekilde duyulabiliyorlar.
Bu teknik sayesinde siber korsanlar çeşitli komutları‘’ fısıldayarak’’ Siri ve Alexa'yı gasp ederek kötü niyetli web sitelerini açmaya zorlayabiliyor. Saldırı, önemli ses tanıma platformunlarında çalışırken, iOS ve Android de dahil olmak üzere her mobil platformu etkiliyor. DolphinAttack insan kulağının 20kHz'in üzerindeki sesleri duyamaması avantajından yararlanıyor: İnsan kulağı bu aralıktaki sisleri duymazken, akıllı telefonlardaki mikrofon yazılımı 20 kHz frekansın üstündeki sinyalleri de algılayabiliyor.
DolphinAttack'ın nasıl çalıştığını göstermek için hazırlanan videoda, araştırma ekibi insan sesi komutlarını ultrasonik frekanslara yani 20 kHz'in üzerine çıkardı. Ortaya çıkan ses amplifikatör ve ultrasonik transformatör yardımıyla tekrar telefona yönlendirildi. Böyle bir düzeneği hazırlamak ise 3 dolardan daha az bir maliyet gerektirdi.
Akıllı telefonlar sesli komutlar yardımıyla, kullanıcıların bir telefon numarasını çevirme, kısa mesaj gönderme, web sayfası açma ve telefonu uçak moduna geçirme gibi çok sayıda işlemi yapabiliyor.
Araştırmacılara göre bir saldırgan, bir aygıta aşağıdakileri de içeren kötü niyetli görevlerin gerçekleştirmesi talimatı vermek üzere duyulamayan sesli komutlar gönderebilir:
• Kötü niyetli bir web sitesini ziyaret edebilir. Bu durumda bir indirme saldırısı başlatabilir veya kurbanının cihazını güvenlik açıklarına maruz bırakabilir
• Casusluk yapılabilir. Saldırgan, kurbanın cihazına giden video veya telefon görüşmeleri başlatması talimatıyla cihazın çevresindeki görüntüye ve sese erişmesini sağlayabilir.
• Sahte bilgileri yükleyebilir saldırgan, kurbanın cihazına sahte çevrimiçi mesaj yayınlamak, takvime olaylar eklemek için sahte kısa mesajlar veya e-posta gönderme talimatları verebilir.
• Hizmetleri sonlandırabilir. Saldırgan, 'uçak modunu' etkinleştirmek için komutlar göndererek tüm kablosuz iletişim bağlantılarını kesebilir ve cihazı çevrimdışı duruma getirebilir.
• Saldırıları gizleyebilir. Saldırgan, saldırıyı gizlemek için ekranı karartabilir ve ses düzeyini düşürebilir.
DolphinAttack hangi telefonlarda çalışıyor?
DolphinAttack, akıllı telefonlar, iPad, MacBook, Amazon Echo ve hatta Audi Q3’ün de yer aldığı toplam 16 cihaz ve Siri, Google Assistant, Samsung S Voice, Huawei HiVoice, Cortana ve Alexa'nın da dahil olduğu 7 sistem üzerinde çalışabiliyor.
DolphinAttack'ı nasıl önleyebilirim?
Test ekibi cihaz üreticilerine, cihazlarını 20 kHz'deki komutları veya duyulmayan frekanslarda başka herhangi bir ses komutunu göz ardı edecek şekilde programlamalarını ve bu güvenlik açığını gidermek üzere bazı donanım değişiklikleri yapmalarını, kullanıcılara ise en hızlı çözüm olarak, sesli yardım uygulamalarını kapalı hale getirmeleri öneriliyor.
Bu teknik sayesinde siber korsanlar çeşitli komutları‘’ fısıldayarak’’ Siri ve Alexa'yı gasp ederek kötü niyetli web sitelerini açmaya zorlayabiliyor. Saldırı, önemli ses tanıma platformunlarında çalışırken, iOS ve Android de dahil olmak üzere her mobil platformu etkiliyor. DolphinAttack insan kulağının 20kHz'in üzerindeki sesleri duyamaması avantajından yararlanıyor: İnsan kulağı bu aralıktaki sisleri duymazken, akıllı telefonlardaki mikrofon yazılımı 20 kHz frekansın üstündeki sinyalleri de algılayabiliyor.
DolphinAttack'ın nasıl çalıştığını göstermek için hazırlanan videoda, araştırma ekibi insan sesi komutlarını ultrasonik frekanslara yani 20 kHz'in üzerine çıkardı. Ortaya çıkan ses amplifikatör ve ultrasonik transformatör yardımıyla tekrar telefona yönlendirildi. Böyle bir düzeneği hazırlamak ise 3 dolardan daha az bir maliyet gerektirdi.
Akıllı telefonlar sesli komutlar yardımıyla, kullanıcıların bir telefon numarasını çevirme, kısa mesaj gönderme, web sayfası açma ve telefonu uçak moduna geçirme gibi çok sayıda işlemi yapabiliyor.
Araştırmacılara göre bir saldırgan, bir aygıta aşağıdakileri de içeren kötü niyetli görevlerin gerçekleştirmesi talimatı vermek üzere duyulamayan sesli komutlar gönderebilir:
• Kötü niyetli bir web sitesini ziyaret edebilir. Bu durumda bir indirme saldırısı başlatabilir veya kurbanının cihazını güvenlik açıklarına maruz bırakabilir
• Casusluk yapılabilir. Saldırgan, kurbanın cihazına giden video veya telefon görüşmeleri başlatması talimatıyla cihazın çevresindeki görüntüye ve sese erişmesini sağlayabilir.
• Sahte bilgileri yükleyebilir saldırgan, kurbanın cihazına sahte çevrimiçi mesaj yayınlamak, takvime olaylar eklemek için sahte kısa mesajlar veya e-posta gönderme talimatları verebilir.
• Hizmetleri sonlandırabilir. Saldırgan, 'uçak modunu' etkinleştirmek için komutlar göndererek tüm kablosuz iletişim bağlantılarını kesebilir ve cihazı çevrimdışı duruma getirebilir.
• Saldırıları gizleyebilir. Saldırgan, saldırıyı gizlemek için ekranı karartabilir ve ses düzeyini düşürebilir.
DolphinAttack hangi telefonlarda çalışıyor?
DolphinAttack, akıllı telefonlar, iPad, MacBook, Amazon Echo ve hatta Audi Q3’ün de yer aldığı toplam 16 cihaz ve Siri, Google Assistant, Samsung S Voice, Huawei HiVoice, Cortana ve Alexa'nın da dahil olduğu 7 sistem üzerinde çalışabiliyor.
DolphinAttack'ı nasıl önleyebilirim?
Test ekibi cihaz üreticilerine, cihazlarını 20 kHz'deki komutları veya duyulmayan frekanslarda başka herhangi bir ses komutunu göz ardı edecek şekilde programlamalarını ve bu güvenlik açığını gidermek üzere bazı donanım değişiklikleri yapmalarını, kullanıcılara ise en hızlı çözüm olarak, sesli yardım uygulamalarını kapalı hale getirmeleri öneriliyor.
Bu Haberin Yorumları
Yorum Yazın
Yorum Yazın
