Cosa sono gli attacchi delfino con Alexa o Siri?

A partire da ora, tutto ciò che ha un microfono che è "caldo" al momento dell'attacco può essere sfruttato... quindi sì, qualsiasi assistente digitale che può essere attivato tramite parola chiave è suscettibile.

Con entrambe queste piattaforme non deve nemmeno essere un attacco; si attivano casualmente in momenti inaspettati[1] [2] (a causa di e illustrando perché l'attacco può funzionare). Il vettore è lo stesso di uno smartphone o di un altro dispositivo che può ricevere comandi audio. Per farla breve, un comando preregistrato viene riprodotto ad una frequenza troppo alta per essere percepita dall'orecchio umano, ma tuttavia il dispositivo sente e obbedisce. Questo potrebbe anche essere ottenuto in tempo reale digitando un comando e facendolo sintetizzare in un discorso ad alta frequenza.

Per me, i veri pericoli di questa vulnerabilità sono:

• Aprire un browser a un sito web dannoso
• Forzare un pagamento driveby inaspettato e fraudolento

Il primo può avvenire da qualsiasi luogo; infatti, almeno una società è nota per aver sviluppato questa "tecnologia" per raccogliere informazioni sui clienti senza il consenso dell'utente[3]anche se - probabilmente - non con intenti apertamente dannosi.

Il secondo richiede che l'attaccante sia a portata di mano della vittima, e che la vittima non richieda l'autenticazione per completare le transazioni.

Non ho i materiali o le competenze per confermare che questi sono ancora possibili, ma l'ultima volta che ho letto il vettore non è ancora patchato e aperto agli attacchi.

Note

[1] https://reddit.app.link/LrLWIpgdWS[2] siri si accende da solo[3] Il tuo telefono sta ascoltando, letteralmente ascoltando la tua TV