Habituellement, vous devez parler aux assistants vocaux pour qu’ils fassent ce que vous voulez. Mais un groupe de chercheurs a déterminé qu’ils pouvaient aussi les commander en faisant briller un laser sur des haut-parleurs intelligents et d’autres gadgets qui abritent des assistants virtuels tels que Alexa d’Amazon, Siri d’Apple et Assistant de Google.
Des chercheurs de l’Université du Michigan et de l’Université d’Electro-Communications du Japon ont compris qu’ils pouvaient le faire en silence et à des centaines de mètres de distance, à condition d’avoir une ligne de visée vers le gadget intelligent. Cette découverte pourrait permettre à n’importe qui (avec de la motivation et quelques centaines de dollars d’électronique) d’attaquer un haut-parleur intelligent de l’extérieur de votre maison, en le faisant jouer de la musique, ouvrir une porte de garage intelligente ou vous acheter des choses sur Amazon.
Un haut-parleur intelligent Google Home photographié sur un comptoir de cuisine
Dans un nouvel article, les chercheurs ont expliqué qu’ils étaient capables de faire briller une lumière à l’aide d’une commande codée (comme « OK Google, ouvre la porte du garage ») sur un microphone intégré à un haut-parleur intelligent. Les sons de chaque commande ont été encodés dans l’intensité d’un faisceau lumineux, a déclaré Daniel Genkin, coauteur d’un article et professeur assistant à l’Université du Michigan. La lumière frappait le diaphragme intégré dans le microphone du haut-parleur intelligent, le faisant vibrer de la même manière que si quelqu’un avait prononcé cette commande.
Les chercheurs ont exploité la vulnérabilité dans des tests pour faire des choses comme déclencher un ouvre-porte de garage intelligent et demander l’heure qu’il est.
Une liste d’appareils que les chercheurs ont testés et qui, selon eux, sont vulnérables à de telles commandes de lumière comprend Google Home, Google Nest Cam IQ, plusieurs appareils Amazon Echo, Echo Dot et Echo Show, le portail Mini de Facebook, l’iPhone XR et la sixième génération d’iPad. Les haut-parleurs intelligents n’ont généralement pas de fonctions d’authentification utilisateur activées par défaut ; les périphériques Apple font partie des quelques exceptions qui ont obligé les chercheurs à trouver un moyen de contourner ce paramètre de confidentialité.
Les résultats pourraient concerner les consommateurs, ainsi que les entreprises qui offrent des assistants vocaux. Au cours des cinq dernières années, le marché des enceintes intelligentes qui utilisent un assistant – en particulier Alexa d’Amazon et les enceintes intelligentes Echo – a pris de l’ampleur. Selon les données de l’étude de marché technologique Canalys, les entreprises ont expédié 26,1 millions de haut-parleurs intelligents au cours du deuxième trimestre. Amazon est au sommet de ce marché : Canalys rapporte qu’Amazon a expédié un quart de ces enceintes, soit environ 6,6 millions entre avril et juin.
Sur un site Web lié aux travaux, les chercheurs décrivent l’équipement nécessaire, qui comprend un pointeur laser de moins de 20 dollars, un pointeur laser à 339 dollars et un amplificateur de son à 28 dollars.
« Si vous avez un laser qui peut briller à travers les fenêtres et sur de longues distances – sans même avertir quiconque dans la maison que vous frappez le haut-parleur intelligent – il y a une grande menace à pouvoir faire des choses qu’un haut-parleur intelligent peut faire sans la permission du propriétaire, » dit Benjamin Cyr, un étudiant à l’Université du Michigan et un co-auteur papier.
Selon les chercheurs, l’appareil Google Home et la première génération d’Echo Plus pourraient être commandés sur la plus longue distance : 110 mètres. Les chercheurs ont déclaré que la distance était la plus longue zone qu’ils pouvaient utiliser (un couloir) pour effectuer des essais.
Les chercheurs ont fait remarquer qu’ils n’ont pas vu cette question de sécurité être mise à profit. Une façon d’éviter tout problème potentiel, cependant, est de vous assurer que votre haut-parleur intelligent ne peut être vu par personne à l’extérieur de votre maison.
Les chercheurs ont dit que la faiblesse ne peut pas vraiment être corrigée sans redessiner les microphones, connus sous le nom de microphones MEMS, qui sont intégrés dans ces dispositifs, ce qui serait beaucoup plus compliqué. Takeshi Sugawara, chercheur invité à l’Université du Michigan et auteur principal du journal, a déclaré qu’une façon d’y parvenir serait de créer un obstacle qui bloquerait une ligne droite de vue sur le diaphragme du microphone.
Daniel Gekin a dit qu’il a contacté Google, Apple, Amazon et d’autres sociétés pour résoudre le problème de sécurité.
Un porte-parole de Google a déclaré que l’entreprise est en train d’examiner de près la recherche. Apple a refusé de commenter. Amazon n’a pas répondu à une demande de commentaires au moment de la publication.
https://edition.cnn.com/2019/11/04/tech/alexa-siri-laser-attack-research/
