Akıllı Telefonunuz Sadece Sizi Dinlemiyor Olabilir

Georgetown Üniversitesi ve Berkeley Üniversitesi araştırmacılarının araştırmalarına göre siber suçlular Youtube videoları üzerinden gizli ses komutlarıyla Android ve iOS tabanlı telefonları ele geçirebilir.

Şimdiye kadar Youtube’da kedi videoları izlemek internette yapabileceğiniz en güvenli aktiviteydi. Fakat Georgetown Üniversitesi ve Berkeley Üniversitesi araştırmacılarının bulgularına göre videoların içine koyulan gizli ses komutları ile akıllı telefonlar ele geçirilebiliyor. Örneğin iyi niyetli gibi görünen viral videoları telefonunuz için tehlikeli olabilir.

Georgetown üniversitesinin bilgisayar bilimleri departmanı profesörü Micah Sherr, araştırmanın gelişmekte olan ses kontrollü sistemlerden ilham aldığını söyledi.

Yapılan yeni araştırma gösteriyor ki, sürekli-dinleme modu bulunan cihazlar, siber suçlular tarafından gizli ses komutlarıyla malware yerleştirilip, ele geçirilebilirler.

Araştırmada yapılan deneyler sırasında, araştırmacılar rastgele bir alan adı alıp, videoların içine gizledikleri bozulmuş, gizli ses komutlarıyla akıllı telefonlardan bu URL’yi açabilmişler. Eğer kötü amaçlı kişiler tarafından aynı işlem yapılabilirse, yönlendirilecek URL malware içerebilir, dolayısıyla cihaz hacklenebilir.

Çalışmalar sırasında dinleme modu açık olan Apple ve Android telefonlar üzerinde 2 çeşit test yapıldı; black-box ve white-box. Black-box testi, Okay Google ya da Siri gibi özel ses tanıma yazılımları kullanan akıllı telefonlara başarılı bir şekilde komut göndermek üzerineydi. Bir telefona bir araştırmacı tarafından üç kere “OK Google” söylenerek komut öğretildi, daha sonra başka bir araştırmacının ses kayıtları ile atak komutları çalıştırıldı.

Black-box testinde, araştırmacılar Okay Google çalıştıran Apple ve Android telefonlara başarıyla girdiler. İyi haber; Siri’ye yapılan crack denemeleri çoğunlukla sonuç vermedi. Sherr Apple Siri’nin ses tanıma sistemi konusunda Google’dan daha muhafazakar olduğunu not etti.

White-box testi, bir açık kaynak ses tanıma yazılımı olan Sphinx’i çalıştıran bir bilgisayara ses komutları göndermek üzerineydi. White-box testi, saldırganın ses tanıma sistemlerinin nasıl çalıştığını, makinenin nasıl öğrendiğini veya sistemin çalıştığı yapay zeka bileşenini tamamen bildiğini varsayıyor. Bunlar bilindikten sonra, saldırgan, insan tarafından anlaşılmayan fakat bilgisayar tarafından anlaşılan saldırı komutları yaratabilir.

White-box testlerinde kullanılan sadece bilgisayarların anlaşılabilen gizli ses komutlarının yaratılması için en büyük gereksinim; konuşmayı anlamak için bir bilgisayarın ve bir insanın neye ihtiyacı olduğunu ayırt edebilmek. Bu ayrımın yapılabildiği yerde, bahsi geçen güvenlik açığı ortaya çıkıyor.

Sherr’e göre bu yapılması kolay bir atak çeşidi değil, fakat kullanıcılardaki bilinçlenmeyi sağlamak amacıyla yaptıkları bu araştırma önemli.

Saldırıları araştıran araştırmacılar, aynı zamanda böyle bir saldırıya karşı nasıl bir savunma yapabileceklerini de araştırdılar. Sesli komut sistemi çalıştıran bir cihaza komut verildiğinde cihaz bir uyarı sesi çıkarırsa saldırılar anlaşılabilir. Fakat eğer bu saldırılar araştırmada varsayıldığı gibi bir videonun içine gizlenmiş sesler aracılığı ile yapılırsa, izlenen videonun sesinden dolayı cihazın çıkardığı ses duyulmayabilir. Ya da kullanılan sesli komut yazılımı, ses tanıma özelliğine sahip olup, sadece telefon sahibinin sesini algılayabilir. Fakat Sherr, günümüzde herhangi birinin sesini Youtube veya sosyal medya hesaplarındaki videolardan bulmanın çok kolay olduğunu söylüyor ve bütün kullanıcıları bu saldırı yöntemi konusunda uyarıyor.

Kaynak: darkreading.com