Det lyder som science fiction, men det er faktisk muligt for hackere at angribe din telefon med ultralyd og få stemmeassistenten til at gøre ting for dem, helt uden du lægger mærke til noget som helst.
Hackerne ligger ikke på den lade side, de udvikler deres metoder og teknikker lige så hurtigt som teknologien i øvrigt. I takt med, at sårbarheder bliver fundet og lappet, finder de cyberkriminelle nye huller, de kan angribe.
Men nogle gange er det bare ikke ’kun’ et nyt hul, der skaber overskrifter, men en helt ny form for angreb. Det var præcis, hvad der skete for nylig, at en meget anderledes angrebsmetode, NUIT, blev fundet. De gode nyheder er, at det var forskere, der fandt den, og endnu er der ingen tegn på, at cyberkriminelle har brugt den.
Men det er værd at være opmærksom på denne angrebsmetode – for kan forskeren finde og bruge den, så er det også muligt, at cyberkriminelle kan.
NUIT, der står for Near-Ultrasound Inaudible Trojan, er en angrebsmetode, der kan bruges til, helt lydløst, at tage kontrollen over enheder, der bruger eller er drevet af en stemmeassistent som Siri, Google Assistent, Cortana eller Amazon Alexa.
Det betyder, at din smartphone, tablet eller smarte højttaler i princippet kan være et potentielt mål for angreb. Konsekvenserne kan være store, lige fra brud på privatlivet og tab af tillid (for firmaer) til, at virksomheders netværk bliver kompromitterede.
Ifølge forskere på University of Texas i San Antonio (UTSA) og University of Colorado Colorado Springs (UCCS) er NUIT-angreb mulige, fordi mikrofonerne i digitale assistenter kan reagere på ’næsten ultralyde’, der afspilles fra en højttaler. Du kan ikke høre dem, men det kan stemmeassistenten, og ad den vej kan den få besked på at udføre en bestemt kommando, f.eks. at slå videoovervågningen fra, sende personlige informationer til en modtager eller måske låse døren op – hvis den er udstyret med en smart-lås.
NUIT er ikke det første akustiske angreb, vi har hørt om, vi har før hørt om SurfingAttack, DolphinAttack, LipRead og SlickLogin. Men NUIT er stadig lidt speciel, for den kommer i to forskellige udgaver/versioner.
NUIT 1 er, hvor enheden både er kilde og mål for angrebet. Her er det eneste, der kræves, at brugeren afspiller en lydfil på sin smartphone, hvilket så igen får enheden til at udføre en kommando.
NUIT 2 er et angreb, hvor f.eks. en pc afspiller lydfilen, der så bliver hørt af en smartphone.
Det, der er skræmmende ved NUIT, er, at det ikke kræver så meget, før den virker. Højttaleren, der afspiller lyden, skal være sat til et givet niveau, og kommandoen varer under 1 sekund.
Herudover skal stemmeassistenten være slået til, hvilket de fleste er fra fødsel.
Men der er også gode nyheder. For forskerne fandt også ud af, at Apples Siri var den sværeste enhed at ramme. Det skyldes, at en hacker skal have fat i brugerens unikke stemme-aftryk for at få telefonen til at acceptere kommandoer.
Derfor er anbefalingen, at alle der bruger stemmeassistent på deres mobil, sætter den op til kun at fungere med deres egen stemme. Alternativt kan du bare slå stemmeassistenten fra og naturligvis altid være opmærksom.
Der er to ting mere, du kan gøre. Du kan jævnligt holde øje med, om mikrofonen på din telefon aktiveres uden årsag. Både Android- og iOS-enheder har en lille lampe, der tændes, når mikrofonen er aktiv.
Endelig kan du vælge kun at lytte til musik, podcast og telefonopkald i et headset. På den måde kan du ikke sende de farlige kommandoer ud til andre enheder.
Det er vigtigt at huske, at denne type angreb endnu ikke er set ’in the wild’, men muligheden er til stede, og vi skal være opmærksom på den.
Husk at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.