Researchers have found that a certain sequence of distorted voice commands, secretly put in YouTube videos can cause unprotected smartphones (Android or IOS) to perform malicious commands and actions.
Two researchers of security from French ANSSI agency use radio waves to send hidden commands on the smartphone using Siri or Google Now. To carry out the attack was possible only in the case where the phone was connected earphones. A group of researchers from Berkeley University, California, and the Georgetown University has developed a new variant of such attack, where the hidden voice commands are used in videos on YouTube.
The attack is possible when a user views a “spoiled” video with the hidden commands on YouTube . According to the results of their work, the researchers wrote a video about the attack, where they showed that some of the voice commands easily determined by a man, and some of them are inconspicuous at all.
Types of hidden commands that are built in these videos may be different, beginning from simple request Google, finishing downloading and installing malicious programs. As a result, it will give an attacker the possibility to fully control the device.
Исследователи обнаружили, что определённая последовательность искажённых голосовых команд, скрытно встроенных в видео YouTube, могут заставить незащищенные смартфоны (Android или IOS), выполнять вредоносные команды и действия.
Два исследователя безопасности французского агентства ANSSI использовали радиоволны для отправки скрытых команд на смартфон под управлением Siri или Google Now. Осуществить атаку было можно лишь в том случае, когда к телефону были подключены наушники. Группа исследователей из Калифорнийского университета Беркли и Университета Джорджтауна разработала новый вариант такой атаки, в которой используются скрытые голосовые команды с видео на YouTube.
Атака осуществляется в том случае, когда пользователь просматривает «испорченное» видео на YouTube, содержащее скрытые команды. По результатам своей работы, исследователи записали видео об этой атаке, на котором показали, что некоторые из голосовых команд легко определяются человеком, а некоторые — незаметны совсем.
Типы скрытых команд, встроенных в таких видео, могут быть различные, начиная от простых запросов Google и заканчивая загрузкой и установкой вредоносных программ, что в конечном итоге может позволить злоумышленнику получить контроль над устройством.
Дослідники виявили, що певна послідовність спотворених голосових команд, таємно вбудованих в відео You Tube, можуть змусити незахищені смартфони (Android або IOS), виконувати шкідливі команди та дії.
Два дослідники безпеки французького агентства ANSSI використовували радіохвилі для надсилання прихованих команд на смартфон під управлінням Siri або Google Now. Здійснити атаку було можливо лише в тому випадку, коли до телефону були підключені навушники. Група дослідників з Каліфорнійського університету Берклі та Університету Джорджтауна розробила новий варіант такої атаки, в якій використовуються приховані голосові команди з відео на YouTube.
Атака здійснюється в тому випадку, коли користувач переглядає «зіпсоване» відео на You Tube, що містить приховані команди. За результатами своєї роботи, дослідники записали відео про цю атаку, в якому показали, що деякі з голосових команд легко визначаються людиною, а деякі – непомітні зовсім.
Типи прихованих команд, вбудованих в таке відео, можуть бути різні, починаючи від простих запитів Google і закінчуючи завантаженням і установкою шкідливих програм, що в кінцевому підсумку може дозволити зловмиснику отримати контроль над пристроєм.