Regelmäßige WeLiveSecurity-Leser werden nicht überrascht sein, wenn sie lesen, dass sich Cyberangriffe und ihre Methoden ständig weiterentwickeln, da Kriminelle ihr Repertoire immer weiter ausbauen. Es ist auch zu einem weitverbreiteten Sprichwort geworden, dass Sicherheitslücken gefunden und behoben werden (leider manchmal). nach der Ausbeutung) finden böswillige Akteure neue Schwachstellen in der Software-Rüstung.

Manchmal ist es jedoch nicht „nur“ eine (weitere) Sicherheitslücke, die für Schlagzeilen sorgt, sondern eine neue Form des Angriffs. Dies war kürzlich auch bei einer eher unkonventionellen Angriffsmethode namens NUIT der Fall. Die guten Nachrichten? NUIT wurde von Wissenschaftlern entdeckt und es gibt keine Berichte darüber, dass jemand es für Streiche oder regelrechte Cyberkriminalität ausgenutzt hat. Dennoch kann es nicht schaden, sich darüber im Klaren zu sein, dass Ihre Privatsphäre und Sicherheit auf andere Weise gefährdet sein könnte – und auch über die Tatsache, dass NUIT tatsächlich in zwei Formen auftreten kann.

Wie NUIT das Licht der Welt erblickte

NUIT, oder Nahezu ultraschallunhörbarer Trojanerist eine Angriffsklasse, die eingesetzt werden könnte, um stille und ferngesteuerte Übernahmen von Geräten zu starten, die Sprachassistenten wie Siri, Google Assistant, Cortana und Amazon Alexa verwenden oder von diesen betrieben werden. Infolgedessen könnte jedes Gerät, das Sprachbefehle akzeptiert – beispielsweise Ihr Telefon, Tablet oder Smart Speaker – im Einsatz sein. Letztendlich könnte der Angriff verheerende Folgen haben, die von einer Verletzung der Privatsphäre und einem Vertrauensverlust bis hin zur Gefährdung der Infrastruktur eines Unternehmens reichen, was wiederum zu erheblichen finanziellen Verlusten führen könnte.

Beschrieben von einem Forscherteam An der University of Texas in San Antonio (UTSA) und der University of Colorado Colorado Springs (UCCS) ist NUIT möglich, weil Mikrofone in digitalen Assistenten auf nahezu ultraschallnahe Wellen reagieren können, die von einem Lautsprecher abgespielt werden. Obwohl dieser Tonbefehl für Sie unhörbar ist, würde er den ständig aktiven Sprachassistenten dazu veranlassen, eine Aktion auszuführen – beispielsweise einen Alarm auszuschalten oder die durch ein intelligentes Schloss gesicherte Vordertür zu öffnen.

Natürlich ist NUIT nicht der erste akustische Angriff, der im Laufe der Jahre für Aufsehen gesorgt hat. Zuvor wurden Angriffe mit ähnlich interessanten Namen beschrieben – denken Sie SurfenAngriff, DolphinAttack, Lippenlesen und glatt einloggen, einschließlich einiger anderer unhörbarer Angriffe, die ebenfalls auf Smart-Home-Assistenten abzielten.

Nacht Nacht

Wie bereits erwähnt, gibt es NUIT in zwei Formen: Sie sind:

• NUIT 1 – Dies ist der Fall, wenn das Gerät sowohl Quelle als auch Ziel eines Angriffs ist. In solchen Fällen muss der Benutzer lediglich eine Audiodatei auf seinem Telefon abspielen, wodurch das Gerät eine Aktion ausführt, beispielsweise das Senden einer Textnachricht mit seinem Standort.



• NUIT 2 – Dieser Angriff wird von einem Gerät mit Lautsprecher auf ein anderes Gerät mit Mikrofon gestartet, beispielsweise von Ihrem PC auf einen intelligenten Lautsprecher.



Nehmen wir als Beispiel an, Sie sehen sich ein Webinar über Teams oder Zoom an. Ein Benutzer könnte die Stummschaltung aufheben und einen Ton abspielen, der dann von Ihrem Telefon erfasst würde, was es dazu veranlasst, eine gefährliche Website zu besuchen und das Gerät mit Malware zu kompromittieren.

Alternativ könnten Sie YouTube-Videos über Ihre Lautsprecher auf Ihrem Telefon abspielen und das Telefon würde dann eine ungerechtfertigte Aktion ausführen. Aus Sicht des Benutzers erfordert dieser Angriff keine spezifische Interaktion, was ihn umso schlimmer macht.

Sollte NUIT Sie nachts wach halten?

Was ist nötig, um einen solchen Angriff durchzuführen? Nicht viel, denn damit NUIT funktioniert, muss der Lautsprecher, über den es gestartet wird, auf eine Lautstärke über einem bestimmten Niveau eingestellt sein, wobei der Befehl weniger als eine Sekunde (0.77 Sekunden) dauert.

Darüber hinaus muss Ihr Sprachassistent natürlich aktiviert sein. Den Forschern zufolge handelte es sich bei den 17 getesteten Geräten nur um ein Problem Apple Siri-fähige Geräte waren schwerer zu knacken. Dies lag daran, dass ein Hacker zunächst Ihren einzigartigen Sprachfingerabdruck stehlen musste, damit das Telefon Befehle annehmen konnte.

Deshalb sollte jeder seine Assistenten so einrichten, dass sie nur mit seiner eigenen Stimme arbeiten. Alternativ können Sie Ihren Sprachassistenten ausschalten, wenn er nicht benötigt wird. Behalten Sie in der Tat Ihren Cyber-Wissen bei, wenn Sie IoT-Geräte wie alle möglichen anderen Geräte verwenden Intelligente Dinge können für Cyberkriminelle eine leichte Beute sein.

Die Anordnungen des Arztes

Die Forscher, die auch ihre NUIT-Forschung auf der präsentieren werden 32^nd USENIX-Sicherheitssymposium, empfehlen Benutzern außerdem, ihre Geräte auf zufällige Mikrofonaktivierungen zu scannen. Sowohl Android- als auch iOS-Geräte zeigen die Mikrofonaktivierung an, normalerweise mit einem grünen Punkt bei Android und mit einem braunen Punkt bei iOS im oberen Teil des Bildschirms. Denken Sie in diesem Fall auch darüber nach, Ihre App-Berechtigungen für den Mikrofonzugriff zu überprüfen, da nicht jede App Ihre Umgebung hören muss.

Hören Sie Audio auch mit Kopfhörern oder Headsets, da Sie so weniger wahrscheinlich den Ton mit Ihrer Umgebung teilen und so vor einem Angriff dieser Art geschützt sind.

Dies ist auch ein guter Zeitpunkt, um sicherzustellen, dass Sie über die Grundlagen der Cybersicherheit verfügen – halten Sie alle Ihre Geräte und Software auf dem neuesten Stand, aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre Online-Konten und verwenden Sie seriöse Sicherheitssoftware auf allen Ihren Geräten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
• Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.welivesecurity.com/2023/06/07/hear-no-evil-ultrasound-attacks-voice-assistants/