Хакеры смогли получить доступ к смартфонам на расстоянии через голосовые помощники Siri и Google Now

Специалисты из французского национального агенства по компьютерной безопасности нашли способ использовать радиоволны для запуска любых команд на смартфонах с включёнными Siri или Google Now и подключённой гарнитурой. На это обратило внимание издание Wired.

Разработанная французскими исследователями технология использует провод от гарнитуры смартфона в качестве антенны для преобразования электромагнитных волн в электрические радиосигналы. Телефон воспринимает их как голосовые команды, поступающие с микрофона пользователя. Использование найденной уязвимости может позволить злоумышленникам получить практически полный доступ к данным и аккаунтам жертвы.

Для взлома голосовых помощников Siri в iOS и Google Now в Android необходимо программное обеспечение GNU Radio, радиоприемник USRP, усилитель и антенна. Всё это находится в свободном доступе. Объём получившейся системы позволит сложить её в рюкзак. Радиус её действия составит порядка четырёх с половиной метров. Его можно увеличить, используя аккумуляторы большего размера, но тогда для перевозки всего необходимого оборудования потребуется автомобиль.

Комплект оборудования, необходимый для доступа к смартфону через Siri или Google Now

Среди ограничений использования подобной уязвимости можно назвать необходимость наличия гарнитуры, подключённой к мобильному устройству. Также, по мнению исследователей, не все пользователи смартфонов на базе Android оставляют функцию Google Now включённой. Устройства на iOS ранее использовали для активации Siri кнопку на телефоне, а не голосовые команды, но это не стало преградой для хакеров, поскольку для запуска Siri можно использовать кнопку на взломанной гарнитуре.

Для использования такой уязвимости практически нет ограничений. Всё, что можно делать со смартфоном с помощью голоса, теперь можно делать с помощью электромагнитных волн.

Винсент Струбель, руководитель исследовательской группы Национального агенства по компьютерной безопасности Франции

Специалисты поставили в известность Google и Apple о подобной технологии и порекомендовали компаниям уделять большее внимание обеспечению безопасности своих гарнитур. Также они высказали мнение, что подобной проблемы можно избежать и с помощью программных решений. Для этого пользователям смартфонов необходимо разрешить задавать уникальные слова для разблокировки своих устройств.

Это не первый случай, когда Siri позволяла злоумышленникам получить доступ к данным смартфона. Весной 2014 года нейрохирург из Египта смог получить доступ к полному списку контактов пользователя iPhone на операционной системе iOS 7, используя для этого уязвимость в голосовом помощнике. Для этого необходимо было попросить Siri позвонить кому-либо из адресной книги, не указывая конкретного имени. Получить доступ к каким-либо другим настройкам устройства с помощью описанного метода было невозможно.