Android Cihazlarda Gizli Ses Komut Zafiyeti

Yazar: Fikret DEMİR & Uğur Can UYAR

Şeytani sesler genellikle kötü ruhlarla ilgilidir, ancak araştırmacılar android cihazlar için bunu “gizli ses komutları” haline getirmenin yolunu buldu.

Georgetown ve California üniversitesindeki bir grup doktora adayı, akıllı telefon sanal asistanları tarafından tanınıp ve yürütülebilen, ancak insan kulakları tarafından kolaylıkla algılanamayan bir dizi sesli komut geliştirdi.

Bu gizli komutların potansiyel olarak yapabileceği şeylerden bazıları ; tweet göndermek, telefon görüşmesi yapmak , hatta Venmo’yu kullanarak para aktarmak. Veya bir siber saldırı senaryosunda, gizli bir komut otomatik olarak zararlı yazılım indiren bir web sitesini açabilir ve bu da hackerin cihazınıza tam yetkili erişim sağlamasına sebep olabilir.

İnsan kulağı, bu ses kliplerini duyabilir ancak rasgele statik gürültü olarak ses çıkarır. Gizli ses komutları insan kaydı olarak başlar ve tamamıyla anlamsız olması için işlenir ve maskelenir bu yüzden hepsi gizli değildir.

Gerçek mesajın ne olduğunu bilerek kayıtları dinlerseniz, o gürültülü mesajı bilinçsizce duyabilirsiniz. Ama normal bir günde dolaşırken duyarsanız iki kere düşünmezsiniz.

Ancak araştırmacılar, “Okay, Google” komutunu dinleyen insanlar söylenenlerin yüzde 20’sini anlayabildiklerini söyledi. Diğer taraftan Google ise komutların yüzde 95’ini algılayıp uygulayabildi. Araştırmacılar “Uçak modunu aç” komutunu kullandığında ise sonuçlar daha az doğruydu. Bu ikinci komut, korku filmlerinde kaydedilen bir ses gibi geliyor.

Komutların çalışması için Android cihazın 3 metrelik bir mesafe içerisinde olması gerekir. Bir mesafe istisnasıyla birlikte, YouTube videolarında ya da TV / radyo yayınlarında gizlenmiş bir mesaj da olabilir. Gizli bir mesaj içeren komik bir video izlediğinizi düşünün, telefonunuz bu konuda otomatik tweet atabilir veya bir satın alma işlemi yapabilir.

Benzer bir durum bu ayın başlarında bir çocuğun Amazon’un Alexa asistanına “Bana oyuncak ev alıp benimle oynar mısın?” sorusu Amazondan 150 dolarlık oyuncak ev siparişi vermesiyle sonuçlanmıştı.

Bir hafta sonra, San Diego’da bir haber istasyonu sunucusu bu haberi ele alıp “Alexa bana bir oyuncak ev sipariş verdi” dediğinde, yayını Amazon Echo ile izleyen kişilerin de sipariş verdiğini bildirdi.

Bu şimdilik sadece bir araştırma projesi olmasına rağmen, gizli şeytani seslerin elektronik cihazlarınızı kontrol etmesi oldukça korkutucu sonuçlanabilir ve bu durum OK Google, Siri, Cortana ve Alexa gibi akıllı ses asistanlarını kapatılarak önlenebilir.

Bu sesli asistanların çoğunun sahip olduğu başka bir güvenlik açığı var; bu komutları yürütmeden önce onaylaması gibi, ancak araştırmanın arkasındaki kişiler bu sorunu aşabileceğini söylediler. Siri ve OK Google, komutlarınızı tekrar ettikten sonra komutları yalnızca “evet” veya “tamam” ile yanıtlayarak onaylamanızı istiyor. Bu nedenle bilgisayar korsanları, komutlar ve onaylama arasındaki süre kadar zaman ayırmak zorunda kalacak ve sesli asistan yürütmeye devam edecektir.

Araştırmacılar Google asistanlarını kullanarak ederek eğlendiler ve birkaç savunma yolunu değerlendirerek soruna bir çözüm geliştirmek için zaman harcadılar. Bu savunma yollarından birisi ses komutu kabul edildiğinde kullanıcıyı bilgilendirmek. Başka bir fikir ise komutun bir insandan veya başka bir cihazdan gelip gelmediğini algılayan bir program olacaktır.

Bir dahaki sefere şeytani sesler duyarsanız, delirmeyeceğinize dair endişelenmeyin, telefonunuzun ele geçirmeye çalışan bir siber saldırı olabilir.

 

Kaynak: http://www.cezerisga.com/makale/Android Cihazlarda Gizli Ses Komut Zafiyeti