Un attaquant peut voler des données utilisateur sensibles par téléphone à l’aide de haut-parleurs intelligents

Ces dernières années, les assistants vocaux tels que Siri, Amazon Alexa, Google Assistant et Cortana sont devenus de plus en plus populaires. Dans de nombreux pays du monde, les gens communiquent quotidiennement avec ces agents d’intelligence artificielle (IA), leur demandant de rechercher des informations en ligne, d’envoyer des e-mails ou des messages, de jouer leurs chansons préférées, etc.

Si les assistants vocaux peuvent grandement simplifier la manière dont nous utilisons nos smartphones, PC, tablettes et autres appareils, ils soulèvent également un certain nombre de problèmes de confidentialité et de sécurité. En fait, ces agents peuvent également être utilisés pour collecter des données à des fins de publicité ciblée et peuvent même permettre aux cyber-attaquants de voler des informations sensibles aux utilisateurs ou de falsifier leurs appareils.

Des chercheurs du Georgia Institute of Technology ont récemment montré qu’une simple attaque pouvait permettre à des utilisateurs malveillants d’accéder aux informations personnelles des personnes via des assistants vocaux. Leurs résultats, présentés dans un article pré-publié sur arXiv, mettent en évidence un certain nombre de vulnérabilités et de risques associés à l’utilisation d’agents conversationnels.

« Ces dernières années, il y a eu des reportages sur Amazon Echo enregistrant et envoyant accidentellement les conversations entre les personnes à proximité à un contact via un appel téléphonique », a déclaré Zhengxian He, l’un des chercheurs qui ont mené l’étude, à Tech Xplore. «Notre recherche est motivée par les nouvelles menaces pesant sur les informations sensibles dans ces environnements qui surviennent en raison de la proximité d’ordinateurs et d’assistants vocaux compromis. Nous sommes en mesure de démontrer que ces menaces pourraient être réelles et que les données stockées sur des ordinateurs pourraient être volées par la voix. assistants via un canal téléphonique. « 

Pour dévoiler les vulnérabilités des assistants vocaux, lui et ses collègues ont conçu une attaque qui extraire les données sensibles des utilisateurs par téléphone. Premièrement, ils ont converti les données stockées dans l’appareil d’un utilisateur en enregistrements sonores et ont veillé à ce que ces enregistrements puissent être transférés sur un simple appel téléphonique. Ils y sont parvenus en transformant les données des utilisateurs en tonalités multifréquences bicolores (DTMF), qui sont essentiellement des signaux pouvant être transférés sur des lignes téléphoniques.

« Un autre défi que nous avons dû surmonter était de rendre furtive la transmission d’un tel son à partir d’un ordinateur, afin qu’elle n’alarme pas une personne qui pourrait être à proximité », a-t-il déclaré. «Nous y parvenons en modulant les tonalités sur une très haute fréquence (16 kHz dans notre travail), ou une fréquence ultrasonique, pour les rendre inaudibles pour la plupart des gens.

Lorsque les voix des utilisateurs sont enregistrées par le microphone intégré d’un appareil Amazon Echo, les tonalités d’origine de ces enregistrements sont naturellement démodulées, en raison de la non-linéarité intrinsèque du microphone (c’est-à-dire de sa distorsion des sons / voix). Les chercheurs ont montré que ces tonalités peuvent être transférées vers un appareil distant contrôlé par un attaquant, qui peut alors reconstruire les données sensibles qu’elles contiennent.

« L’attaque que nous avons identifiée peut être menée sans être remarquée par un humain, ce qui démontre la faisabilité d’une exfiltration furtive de données à partir d’ordinateurs compromis avec des haut-parleurs intelligents », a-t-il déclaré. «Une quantité modeste de données (par exemple, un kilo-octet de données) peut être transmise avec une grande précision par un appel d’une durée inférieure à 5 minutes dans un cadre réaliste, même lorsque le haut-parleur intelligent est à plusieurs mètres de l’ordinateur où les données sont stockées. « 

Les expériences menées par lui et ses collègues montrent que les données personnelles d’un utilisateur peuvent facilement être transmises via des haut-parleurs intelligents, tels qu’Amazon Echo, à l’appareil d’un attaquant. La vitesse à laquelle ces données sont transférées dépend d’un certain nombre de facteurs, y compris la distance entre l’ordinateur d’un utilisateur et son haut-parleur intelligent, le bruit de fond et la fréquence des ondes porteuses (c’est-à-dire les ondes à travers lesquelles les données sont transférées).

Cette étude récente a identifié des vulnérabilités des assistants vocaux et des haut-parleurs intelligents qui ne sont pas traitées par les défenses et les mesures de sécurité existantes contre le vol de données. Dans leur article, les chercheurs discutent des solutions qui pourraient aider à atténuer ces risques, qu’ils prévoient d’explorer dans leurs recherches futures.

«Dans nos prochaines études, nous prévoyons de concevoir des stratégies qui améliorent la sécurité et la confidentialité des assistants vocaux», a-t-il déclaré. « De plus, nous prévoyons d’explorer d’éventuelles défenses contre ce type d’attaques. »

© 2020 Réseau Science X