耳に聞こえない超音波を使ってSiriのハイジャックが可能〜セキュリティ研究者が発表

 
「サーフィン攻撃（SurfingAttack）」と名付けられた、耳に聞こえない超音波を使ってスマートフォンのデジタルアシスタントを起動し、指示を与える手法がセキュリティ研究者たちによって発表されました。

机に超音波を流して表面上のデバイスを攻撃

「サーフィン攻撃」は、机などの固体に超音波を伝播させ、その上に置かれたスマートフォンのデジタルアシスタントをハイジャックするという手法です。
 
超音波を発生させるのに必要なのは5ドル（約530円）の圧電トランスジューサのみとのことで、机の裏に取り付ければ上に置かれたデバイスの攻撃が可能となります。
 
研究チームは、超音波を使ってボイスアシスタントを起動し、発信、写真撮影、2段階認証のパスコードを含むメッセージの読み上げなどに成功したとされています。
 
最初にアシスタントを起動したとき、デバイスの音量を下げることで、攻撃が気付かれにくくなる、とも発表された科学論文に記されています。

17種のデバイスのうちほとんどに脆弱性が確認

サーフィン攻撃は、全部で17種のデバイスで実験が行われ、そのうちほとんどの端末で有効であったことがわかっています。AppleのiPhone、GoogleのPixel、SamsungのGalaxy端末がサーフィン攻撃に対して脆弱であることが判明しました。なお、どのiPhoneモデルが使用されたかは明かされていません。
 
Siri、Googleアシスタント、Bixbyを含むすべてのボイスアシスタントが攻撃に対して脆弱性を示したことがわかっていますが、Huawei Mate 9とSamsung Galaxy Note10+だけは攻撃を回避しました。研究者たちによれば、これはデバイスの材質の音響特性が関係しているとのことで、テーブルクロスを介したときも攻撃の効果が弱まったことが明らかになっています。
 
サーフィン攻撃は、多くの音声コントロールデバイスに使用されるMEMSマイクの非線形性を利用したものであるとのことです。
 
なお、サーフィン攻撃は、Amazon EchoやGoogle Homeなどのスマートスピーカーには通用しなかったと論文に記載されています。
 
 
Source:SurfingAttack via AppleInsider
(lexi)