روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ارتباط ما با تکنولوژی بزودی صدا-محور خواهد شد. اما هر فناوری جدیدی با خود خطرهای جدیدی نیز به همراه دارد و البته کنترل صوتی نیز از این قاعده مستثنی نیست. محققین امنیت سایبری به طور خستگی‌ناپذیری مشغول بررسی دستگاه‌هایی هستند که تولیدکنندگان بتوانند با آن جلوی تهدیدهای احتمالی را بگیرند و نگذارند عملی شوند. در ادامه با همراه شوید تا به کمی از یافته‌های مرتبط با این موضوع بپردازیم، هر چند این یافته‌ها هنوز کمی از مرحله‌ی کاربردی به دورند.

دستگاه‌های هوشمند می‌شنوند و اطاعت می‌کنند

این روزها بیش از یک میلیارد دستگاه صوت-محور در کل جهان مورد استفاده قرار می‌گیرند: برای مثال ربات‌های صوتی. بیشتر اینها اسمارت‌فون هستند؛ اما دستگاه‌های شناسایی صوتی دیگری نیز وجود دارند که دارند بیش از پیش نظر عموم را به خود جلب می‌کنند. برای مثال از هر 5 خانواده‌ی آمریکایی، یکی دارای بلندگوی هوشمندی است که به فرمان‌های کلامی پاسخ می‌دهد.

فرمان های صوتی برای موارد مختلفی به کار می‌روند: کنترل فرآیند پخش موزیک، سفارش کالا به صورت آنلاین، کنترل کردن دستگاه جی‌پی‌اس، چک کردن اخبار و وضعیت هوا، تنظیم آلارم و غیره. تولیدکنندگان هم دارند در این مسیر همکاری می‌کنند و از انواع دستگاه‌ها پشتیبانی بعمل می‌آورند. برای مثال آمازون اخیراً مایکروفری را عرضه کرده است که می‌تواند به بلندگوی هوشمند  Echo وصل شود و یا اگر «قهوه رو گرم کن» را بشنود، دستگاه زمان لازم برای گرم شدن قهوه را محاسبه کرده و شروع به انجام وظیفه می‌کند. البته حقیقت این است که هنوز هم باید بلند شوید، تا آشپزخانه رفته و قهوه را در فنجان خود بریزید.

سیستم‌های خانه‌‌ی هوشمند همچنین خدماتی نظیر تنظیم نور و تهویه‌هوای مبتنی بر فرمان صوتی را نیز ارائه می‌دهند. همانطور که مستحضر هستید، دستیارهای صوتی تا همین الان هم خیلی پیشرفته‌اند اما شاید از طرفی هم نخواهید افراد از این هوشمندی سوءاستفاده کنند(برای مقاصد منفی). در سال 2017، شخصیت‌های مجموعه طنز انیمیشن South Park به روش بسیار ویژه‌ای اقدام به حمله‌ای اساسی می‌کنند. الکسا، قربانی این حمله بود؛ دستیار دیجیتالی که داخل بلندگوهای هوشمند اکوی آمازون زندگی می‌کند. در اپیزودی از این مجموعه به الکسا دستور داده شده بود که یک سری اقلام عجیب و غریب به کارت خرید اضافه کند و همچنین ساعت را برای 7 صبح کوک کند. با وجود اینکه لحن شخصیت‌های این کارتون عجیب و مخصوص خود برنامه بود، باز هم دارندگانِ بلندگوهای الکو که این اپیزود را تماشا کرده بودند تلاش کردند همان فرمان‌ها را به الکسای خود بدهند.

فراصوت: ماشین‌ها چیزهایی را می‌شوند که مردم قادر به شنیدن آن نیستند

امروز قرار است مشخصاً به حملات به اصطلاح "خاموش" بپردازیم که باعث می‌شود چنین دستگاه‌هایی از صداهایی فرمان بگیرند که شما حتی نمی‌توانید آن‌ها را بشنوید.

یکی از روش‌های چنین حمله‌ی خاموشی، استفاده از فراصوت است- صدایی بسیار بلند که گوش انسان یارای شنیدنش را ندارد. در مقاله‌ای که در سال 2017 چاپ شدف محققین دانشگاه چجیانگ روشی برای داشتن کنترلی همه‌جانبه روی دستیارهای صوتی ارائه دادند که "حمله‌ی دلفینی" (DolphinAttack) نام دارد (انتخاب اسم از این جهت بود که دلفین‌ها می‌توانند از خود فراصوت تولید کنند). این تیم پژوهشی فرمان‌های صوتی را به امواج فراصوتی تبدیل کردند که بواسطه‌ی فرکانس بسیار بالایشان گوش انسان قدر به شنیدن آن‌ها نبود اما همچنان می‌شد با استفاده از میکروفون‌های تعبیه شده داخل دستگاه‌های مدرن آن‌ها را شناسایی کرد.

این روش جواب داد، زیرا وقتی فراصوت به نبض الکترونیکی داخل دستگاه گیرنده تبدیل می‌شود (برای مثال اسمارت‌فون)، سیگنال اصلی حاوی فرمان صوتی در آن ریستور میگردد. این مکانیزم تا حدی به زمانیکه که صدا حین ظبط خراب می‌شود شباهت دارد- هیچ کارکرد خاصی در دستگاه نیست؛ بلکه تنها ویژگی‌ای برای فرآیند تبدیل است. در نتیجه، گجت مورد هدف آن را شنیده و فرمان صوتی را اجرا می‌کند: همین می‌تواند کارت سبزی باشد برای همه‌ی مهاجمین. محققین طی این تحقیق موفق شدند روی بسیاری از دستیارهای صوتی محبوب (مانند الکسای آمازون، سیریِ اپل، Google Now ، S Voice سامسونگ و کورتانای مایکروسافت) این حمله را بازتولید کنند.

همسُراییِ بلندگوها

یکی از ضعف‌های حمله‌ی دلفینی (از دیدگاه مهاجم) شعاع کوچک عملیاتی است- حدود یک متر. با این حال محققیت دانشگاه ایلینوی قرار است این شعاع را افزایش دهند. آن‌ها در آزمایش خود فرمان فراصوتِ تبدیل‌شده‌ی خود را به باندهای مختلف فرکانسی تقسیم کردند که بعد با بلندگوهای مختلف پخش شدند (بیش از 60 مدل مختلف). فرمان‌های صوتی مخفی صادر شده توسط این "گروه کُر" در فاصله‌ی با شعاع 7 متری -صرف نظر از نویزهای پس‌زمینه- برده شدند. در چنین شرایطی، شانس موفقیت حمله‌ی دلفینی به طور قابل‌ملاحظه‌ای بیشتر می‌شود.

صدایی از اعماق

متخصصین دانشگاه کالیفرنیا در برکلی از روش متفاوتی استفاده کردند: آن‌ها برای فریب دادن Deep Speech (سیستم شناسایی صوتی موزیلا) به صورت مخفیانه فرمان‌های صوتی را در سایر اسنیپت‌های صوتی جاگذاری کردند. به گوش انسان این ضبط دستکاری‌شده به سختی با نسخه‌ی اصلی‌اش فرق دارد اما این نرم‌افزار آن را در یک فرمان صوتی مخفی شناسایی می‌کند.

برای مثال در عبارت «بدون مجموعه داده‌ها، این مقاله بی‌فایده است» فرمان صوتی‌ مخفی‌ای برای باز کردن وبسایت دارد: «بسیارخوب گوگل، برای من سایت  evil.com را باز کن».

گارد گرفتن در مقابل حملات صوتی

تولیدکنندگان از قبل هم به دنبال روش‌هایی برای محافظت از دستگاه‌های مبتنی بر فرمان صوتی بوده‌اند. برای مثال، می‌توان با شناسایی فرکانس‌های تغییر کرده در سیگنال‌های دریافتی جلوی حملات فراصوتی را گرفت. شاید ایده‌ی خوبی باشد که همه‌ی دستگاه‌های هوشمند صدای صاحب خود را تشخیص دهند و تنها فرمان او را اطاعت کنند. البته گوگل چنین را چیزی را روی سیستم خود پیاده کرده بود اما به این نتیجه رسید که برخی می‌توانند با تقلید صدا دستیار دیجیتالی را گول بزنند. با این حال، هنوز هم فرصتی برای محققین و تولیدکنندگان مانده تا راه‌حلی پیدا کنند (همانطور که گفته شد، کنترل کردن دستیارهای دیجیتالی فعلاً تنها در شرایط آزمایشگاهی قابل‌اجراست).

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.