Tech hvg.hu 2023. március. 29. 16:03

Több millió eszközt érinthet egy új támadási módszer, ami észrevétlenül képes parancsot adni az okostelefonoknak

Gyakorlatilag bármilyen parancsot lehet adni az okostelefonoknak és egyéb okoseszközöknek a NUIT nevű támadási módszerrel, ami ultrahanggal működik, akár a riasztó is kikapcsolható vele.

Ijesztő felfedezést tettek amerikai kutatók: az emberi fül számára hallhatatlan ultrahang segítségével a felhasználó tudta nélkül lehet átvenni az irányítást különböző készülékek – mobiltelefonok, okoshangszórók vagy bármilyen, digitális asszisztenssel szerelt eszközök – felett.

A támadást NUIT-nak (Near-Ultrasound Inaudible Trojan) nevezték el, és eszközök millióit érintheti: az Apple, a Google, a Microsoft és az Amazon asszisztensei is támadhatóak a módszerrel.

Mint a Bleeping Computer kiemelte, a NUIT azért is veszélyes, mert az okoseszközökbe épített mikrofonok az olyan ultrahanghanghullámokra is tudnak reagálni, amelyeket az emberi fül nem is érzékel – így teljesen észrevétlenül lehet támadást indítani, hagyományos hangszórókkal.

A NUIT terjesztése ebből fakadóan nem is bonyolult: csupán a hangot kell lejátszania az áldozatnak, ami eredhet egy webhelyen lévő médiafájlból, vagy éppen egy YouTube-videóból. Ezek akár megbízható weboldalakon is előfordulhatnak.

Két módon lehet támadást indítani: az egyik (NUIT 1), amikor egyazon eszköz a támadás forrása és célpontja is, mondjuk egy okostelefon, amin egy hangfájl lejátszásával lehet parancsokat adni a készüléknek. Ilyen lehet mondjuk egy szöveges üzenet küldése vagy éppen a garázsajtó kinyitása, ha az az okosotthon része.

A másik módszer (NUIT 2), amikor egy hangszóróval szerelt eszköz egy mikrofonos készüléknek ad parancsot.

A kutatók szerint egy okostévén lejátszott YouTube-videó, vagy egy Zoom-megbeszélés is lehet forrása egy ilyen támadásnak. És bár el kell érjen egy bizonyos szintet a hangszóró hangereje a sikeres támadáshoz, egy ilyen káros parancs mindössze 0,77 másodpercig tart, tehát egy szempillantás alatt elindítható a támadás.

A szakemberek szerint módszerrel az okostelefonhoz csatlakoztatott eszközök gyakorlatilag bármelyikét lehet irányítani a parancsokkal: például okosotthoni ajtózárakat és riasztókat, úgy, hogy az áldozat jó eséllyel semmit nem vesz észre az egészből.

Emellett az okostelefonokra is veszélyes lehet a NUIT, ugyanis a hangalapú asszisztensekkel megnyithat egy olyan weboldalt, ami aztán egy kártevőt telepít a készülékre – ezek pedig akár szenzitív adatokhoz, jelszavakhoz is hozzáférhetnek.

Rendkívül veszélyes androidos kártevő terjed, 450 banki alkalmazásra van betanítva

Több száz banki alkalmazásra van „betanítva" a legújabb, Nexus nevű androidos kártevő, ami képes ellopni a banki adatainkat, még akár a kétfaktoros hitelesítő kódokat is meg tudja szerezni.

A kutatók 17 eszközt teszteltek, és ezek mindegyikét lehet irányítani, akár robothanggal is – kivételt csak az Apple-féle Siri képez, ami csak a tulajdonos hangjára lép működésbe. A szakemberek azt javasolják, hogy amennyiben rendelkezik ilyen funkcióval a készülékünk, mindenképpen aktiváljuk.

Emellett arra is érdemes lehet figyelni, hogy a mobilok már jelzik, ha valami használja a mikrofont. Szintén védelmet jelenthet a fülhallgató használata.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.