Ijesztő felfedezést tettek amerikai kutatók: az emberi fül számára hallhatatlan ultrahang segítségével a felhasználó tudta nélkül lehet átvenni az irányítást különböző készülékek – mobiltelefonok, okoshangszórók vagy bármilyen, digitális asszisztenssel szerelt eszközök – felett.
A támadást NUIT-nak (Near-Ultrasound Inaudible Trojan) nevezték el, és eszközök millióit érintheti: az Apple, a Google, a Microsoft és az Amazon asszisztensei is támadhatóak a módszerrel.
Mint a Bleeping Computer kiemelte, a NUIT azért is veszélyes, mert az okoseszközökbe épített mikrofonok az olyan ultrahanghanghullámokra is tudnak reagálni, amelyeket az emberi fül nem is érzékel – így teljesen észrevétlenül lehet támadást indítani, hagyományos hangszórókkal.
A NUIT terjesztése ebből fakadóan nem is bonyolult: csupán a hangot kell lejátszania az áldozatnak, ami eredhet egy webhelyen lévő médiafájlból, vagy éppen egy YouTube-videóból. Ezek akár megbízható weboldalakon is előfordulhatnak.
Két módon lehet támadást indítani: az egyik (NUIT 1), amikor egyazon eszköz a támadás forrása és célpontja is, mondjuk egy okostelefon, amin egy hangfájl lejátszásával lehet parancsokat adni a készüléknek. Ilyen lehet mondjuk egy szöveges üzenet küldése vagy éppen a garázsajtó kinyitása, ha az az okosotthon része.
A másik módszer (NUIT 2), amikor egy hangszóróval szerelt eszköz egy mikrofonos készüléknek ad parancsot.
A kutatók szerint egy okostévén lejátszott YouTube-videó, vagy egy Zoom-megbeszélés is lehet forrása egy ilyen támadásnak. És bár el kell érjen egy bizonyos szintet a hangszóró hangereje a sikeres támadáshoz, egy ilyen káros parancs mindössze 0,77 másodpercig tart, tehát egy szempillantás alatt elindítható a támadás.
A szakemberek szerint módszerrel az okostelefonhoz csatlakoztatott eszközök gyakorlatilag bármelyikét lehet irányítani a parancsokkal: például okosotthoni ajtózárakat és riasztókat, úgy, hogy az áldozat jó eséllyel semmit nem vesz észre az egészből.
Emellett az okostelefonokra is veszélyes lehet a NUIT, ugyanis a hangalapú asszisztensekkel megnyithat egy olyan weboldalt, ami aztán egy kártevőt telepít a készülékre – ezek pedig akár szenzitív adatokhoz, jelszavakhoz is hozzáférhetnek.
Rendkívül veszélyes androidos kártevő terjed, 450 banki alkalmazásra van betanítva
Több száz banki alkalmazásra van „betanítva" a legújabb, Nexus nevű androidos kártevő, ami képes ellopni a banki adatainkat, még akár a kétfaktoros hitelesítő kódokat is meg tudja szerezni.
A kutatók 17 eszközt teszteltek, és ezek mindegyikét lehet irányítani, akár robothanggal is – kivételt csak az Apple-féle Siri képez, ami csak a tulajdonos hangjára lép működésbe. A szakemberek azt javasolják, hogy amennyiben rendelkezik ilyen funkcióval a készülékünk, mindenképpen aktiváljuk.
Emellett arra is érdemes lehet figyelni, hogy a mobilok már jelzik, ha valami használja a mikrofont. Szintén védelmet jelenthet a fülhallgató használata.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
