Assistentes de voz são suscetíveis a ataques cibernéticos “silenciosos”, dizem os pesquisadores

Fonte:



Os pesquisadores dizem que os assistentes de voz são vulneráveis a comandos de voz em frequências fora do alcance da audição humana.

Muito tem sido feito sobre segurança cibernética em casas inteligentes nos últimos meses, com o governo dos EUA tomando medidas este ano ao propor o Cyber Trust Mark, o equivalente em segurança cibernética do rótulo Energy Star que certifica que um dispositivo atende aos padrões básicos de segurança cibernética. Agora, novas pesquisas sobre a ameaça de ataques cibernéticos quase ultrassônicos estão nos dizendo exatamente por que precisamos prestar atenção à segurança cibernética da IoT.

Nos registros para o processo Cyber Trust Mark da Comissão Federal de Comunicação, os pesquisadores dizem que comandos de voz inaudíveis – sinais de áudio normalmente além do alcance auditivo do ser humano adulto médio, podem emitir silenciosamente comandos maliciosos para dispositivos IoT ativados por voz.

A vulnerabilidade foi até declarada tão grave que está registrada no Banco de Dados Nacional de Vulnerabilidades do Instituto Nacional de Padrões e Tecnologia. Rastreado como CVE 2023-33248 e associado pela primeira vez ao software Amazon Alexa, os pesquisadores dizem que isso permite que os invasores forneçam comandos relevantes para a segurança por meio de sinais de áudio entre 16 e 22 kHz.

Os comandos nessas frequências “essencialmente nunca são falados” por usuários autorizados, mas uma fração substancial dos comandos emitidos nessas frequências é executada com sucesso.

Dois dos arquivadores da FCC, Forrest McKee e David Noever, são pesquisadores da consultoria de engenharia PeopleTec, com sede no Alabama, e têm experiência em pesquisas para a NASA e o Departamento de Defesa. Em um artigo de pesquisa publicado na edição de maio de 2023 do International Journal of Network Security and Its Applications, os dois chamam a vulnerabilidade de “ataque quase ultrassônico”, no qual esses comandos maliciosos e inaudíveis são transmitidos via Zoom, YouTube, Teams ou um usuário com dispositivo móvel, com a intenção de atingir vários dispositivos IoT conectados.

-------------------------------------------------------------------------------------------

Quer ler outros artigos sobre Cybersegurança?

É seguro ter uma casa inteligente?

A demanda por produtos para casa inteligente continua a crescer, apesar das preocupações com privacidade e segurança