Yakında teknoloji yle etkileşimimize, sesli komut lar hakim olabilir. İstediğiniz şeyi sesli bir şekilde ifade etmek ve ardından cevabı ...
Ancak her yeni teknoloji beraberinde yeni tehditler de getirir. Ses kontrolü teknolojisi de bunlardan biri. Üreticilerin potansiyel tehditleri önleyebilmesini sağlamak için siber güvenlik araştırmacıları cihazlar üzerinde sabah akşam derinlemesine araştırmalar yapıyorlar. Her ne kadar şu an için pratikte bir faydası olmasa da bugünün güvenlik radarında mutlaka bulunması gereken bazı bulgulardan bahsedeceğiz.
Voicebot.ai sitesinin raporuna göre bugün dünya çapında bir milyardan fazla sesle etkinleştirilen cihaz bulunmaktadır. Bunların çoğu akıllı telefonlardan oluşsa da konuşma tanıma özellikli cihazlar da hızlı bir şekilde popülerlik kazanmaktadır.
Akıllı cihazlar dinliyor ve emirleri yerine getiriyor
Voicebot.ai sitesinin raporuna göre bugün dünya çapında bir milyardan fazla sesle etkinleştirilen cihaz bulunmaktadır. Bunların çoğu akıllı telefonlardan oluşsa da konuşma tanıma özellikli cihazlar da hızlı bir şekilde popülerlik kazanmaktadır.
Mesela, Amerika’da her beş evden birinde sözlü komutlara cevap veren akıllı bir hoparlör bulunmaktadır.
Sesli komutlar; çalan şarkıları kontrol etmek, internet üzerinden ürün sipariş etmek, araba GPS’ini, haber ve hava durumunu kontrol etmek, alarm kurmak ve çok daha fazlası için kullanılabilir. Üreticiler de bu akımdan faydalanıp cihazlara sesli kontrol desteği sunmaktadır.
Sesli komutlar; çalan şarkıları kontrol etmek, internet üzerinden ürün sipariş etmek, araba GPS’ini, haber ve hava durumunu kontrol etmek, alarm kurmak ve çok daha fazlası için kullanılabilir. Üreticiler de bu akımdan faydalanıp cihazlara sesli kontrol desteği sunmaktadır.
Mesela kısa süre önce Amazon, Echo akıllı hoparlörüyle bağlantı kuran bir mikrodalgayı piyasaya sundu. Mikrodalga, “Kahveyi ısıt” ifadesini duyduğunda gerekli zamanı hesaplıyor ve çalışmaya başlıyor. Elbette bu teknolojiyle dahi mutfağa kadar gidip kupa bardağınızı cihazın içine koymanız lazım. Bu kadar işi yapmışken birkaç düğmeye de basmakta ne var diyebilirsiniz ama şimdilik teknolojik ilerlemelerin küçük ayrıntıları üzerinde durmayalım.
Akıllı ev sistemleri, ses kontrollü ışıklandırma ve havalandırmanın yanı sıra dış kapı kilitleme seçeneği de sunmaktadır. Gördüğünüz üzere, sesli asistanlar şimdiden çok fazla iş görebiliyor. Bu durumda, tanımadığımız kişilerin bu özellikleri, özellikle de kötü amaçları için kullanmasını asla istemeyiz.
2017’de animasyon komedi dizisi South Park, kendi benzersiz tarzında son derece orijinal bir toplu saldırı gerçekleştirdi. Kurban, Amazon Echo akıllı hoparlörlerinin içinde yaşayan sesli asistan Alexa’ydı. Dizide Alexa’ya, alışveriş sepetine oldukça acayip eşyalar eklemesi ve alarmı sabahın 7’sine kurması için komutlar verilmişti. Karakterlerin telaffuzları tuhaf olsa da South Park’ın o bölümünü izleyenlerin Echo hoparlörleri, TV ekranından gelen komutları tamamıyla yerine getirmiştir.
2017’de animasyon komedi dizisi South Park, kendi benzersiz tarzında son derece orijinal bir toplu saldırı gerçekleştirdi. Kurban, Amazon Echo akıllı hoparlörlerinin içinde yaşayan sesli asistan Alexa’ydı. Dizide Alexa’ya, alışveriş sepetine oldukça acayip eşyalar eklemesi ve alarmı sabahın 7’sine kurması için komutlar verilmişti. Karakterlerin telaffuzları tuhaf olsa da South Park’ın o bölümünü izleyenlerin Echo hoparlörleri, TV ekranından gelen komutları tamamıyla yerine getirmiştir.
Ultrason: Makinalar bizim duymadıklarımızı duyabilir
Sesle aktifleştirilen cihazların taşıdığı tehlikelerin bir kısmına, Bugün ise cihazlarınızı, duyamadığınız seslerden gelen komutları yerine getirmeye zorlayan “sessiz” saldırılara odaklanacağız.
Bu tip bir saldırı, insan kulağının işitemeyeceği kadar yüksek frekanslı olan ultrason dalgaları yoluyla gerçekleştirilebilir. 2017’de yayınlanan bir makalede, Zhejiang
Üniversitesi’nden araştırmacılar sesli asistanları gizli bir şekilde kontrol etmeye yarayan DolphinAttack (Yunus Saldırısı) adlı bir tekniği sunmuştur (yunus balıkları ultrason dalgaları yaydığı için bu şekilde adlandırılmıştır). Araştırma ekibi sesli komutları, insanlar tarafından duyulamayan ancak modern cihazlardaki mikrofonlar tarafından algılanabilen ultrason dalgalarına dönüştürdü.
Bu yöntem işe yarıyor, çünkü ultrason dalgası, alıcı cihazda (örneğin bir akıllı telefon) elektrik akımı darbesine dönüştürüldüğünde, sesli komutu saklayan orijinal sinyal yeniden oluşturuluyor.
Bu mekanizma bir anlamda, kayıt sırasında ses bozulmasına benziyor: Cihazda bunun için özel bir işlev yok, bu sadece dönüşüm sürecinin bir özelliği.
Sonuç olarak, hedef cihaz sesli komutu duyar ve yerine getirir; bu da saldırganlar için sayısız fırsat demektir. Araştırmacılar bu saldırıyı, Amazon Alexa, Apple Siri, Google Now, Samsung S Voice ve Microsoft Cortana gibi en popüler sesli asistanlarda yeniden gerçekleştirebilmiştir.
Hoparlör korosu
Saldırganlar açısından bakıldığında, DolphinAttack’ın zayıf noktalarından biri, etki alanının sadece 1 metre olmasıdır. Ancak Illinois Urbana-Champaign Üniversitesi’nden araştırmacılar bu mesafeyi arttırmayı başardı.
Hoparlör korosu
Saldırganlar açısından bakıldığında, DolphinAttack’ın zayıf noktalarından biri, etki alanının sadece 1 metre olmasıdır. Ancak Illinois Urbana-Champaign Üniversitesi’nden araştırmacılar bu mesafeyi arttırmayı başardı.
Yaptıkları deneyde, dönüştürülmüş bir ultrason komutunu, çok sayıda frekans bandına ayırdılar ve bunları 60’dan fazla hoparlörde oynattılar.
Bu “hoparlör korosu” tarafından verilen gizli sesli komutlar, arka plandaki gürültülere rağmen yedi metrelik bir mesafeden algılanmıştır. Bu şartlarda, DolphinAttack’ın başarı olasılığı kayda değer bir oranda artmıştır.
Derinden gelen bir ses
California Berkeley Üniversitesi’nden uzmanlar ise farklı bir kaynaktan istifade ettiler. Mozilla’nın ses tanıma sistemi Deep Speech’i kandırmak için, sesli komutları diğer ses kodu parçacıklarının içine gizlice yerleştirdiler. İnsan kulağına göre değiştirilmiş kayıt ile orijinali arasında neredeyse hiç bir fark olmasa da yazılım, kaydın içinde gizli bir komut olduğunu tespit edebilir.
Derinden gelen bir ses
California Berkeley Üniversitesi’nden uzmanlar ise farklı bir kaynaktan istifade ettiler. Mozilla’nın ses tanıma sistemi Deep Speech’i kandırmak için, sesli komutları diğer ses kodu parçacıklarının içine gizlice yerleştirdiler. İnsan kulağına göre değiştirilmiş kayıt ile orijinali arasında neredeyse hiç bir fark olmasa da yazılım, kaydın içinde gizli bir komut olduğunu tespit edebilir.
Araştırma ekibinin web sitesinde bulunan kayıtları dinleyip görebilirsiniz. İlk örnekte, “Veri seti olmadan makale faydasız” ifadesi, farklı bir web sitesi açmak için gizli bir komut içermektedir:
“Google, evil.com sitesini aç.” İkinci örnekte, araştırmacılar Bach’ın çello süitinin bir bölümüne, “Konuşma müzik içerisine yerleştirilebilir” ifadesini eklemiştir.
Üreticiler, sesle etkinleştirilen cihazları korumak için yeni yöntemler aramaya çoktan başladı. Örneğin, alınan sinyallerdeki frekans değişiklikleri tespit edilerek bu ultrason saldırıları engellenebilir. Bütün akıllı cihazları sahiplerinin sesini tanıması için eğitmek iyi bir fikir olsa da; bu fikri kendi sisteminde test etmiş olan Google, bu tür bir güvenlik yönteminin ses kaydı veya başarılı bir taklit yoluyla kandırılabileceği uyarısında bulunmuştur.
Ancak, bu konuya yönelik farklı çözümler üretmek için araştırmacıların ve üreticilerin hâlâ zamanı var.
Duyulmayan saldırılara karşı koruma
Üreticiler, sesle etkinleştirilen cihazları korumak için yeni yöntemler aramaya çoktan başladı. Örneğin, alınan sinyallerdeki frekans değişiklikleri tespit edilerek bu ultrason saldırıları engellenebilir. Bütün akıllı cihazları sahiplerinin sesini tanıması için eğitmek iyi bir fikir olsa da; bu fikri kendi sisteminde test etmiş olan Google, bu tür bir güvenlik yönteminin ses kaydı veya başarılı bir taklit yoluyla kandırılabileceği uyarısında bulunmuştur.
Ancak, bu konuya yönelik farklı çözümler üretmek için araştırmacıların ve üreticilerin hâlâ zamanı var.
Daha önce de belirttiğimiz gibi, sesli asistanların gizlice kontrol edilmesi şu anda sadece laboratuvar koşullarında gerçekleştirilebilir:
Akıllı telefonunuzun yakınına, bırakın 60 tanesini, bir tane ultrasonik hoparlör koymak bile büyük bir iş; ses kayıtlarına komut yerleştirmek ise, bu iş için gereken zamana ve çabaya neredeyse hiç değmez.
Kaynak: https://www.kaspersky.com.tr/blog/ultrasound-attacks/5675/
Kaynak: https://www.kaspersky.com.tr/blog/ultrasound-attacks/5675/
Hiç yorum yok
Fikirlerinizi bizimle yorumlarda paylaşabilirsiniz.