기사요약 :
미국 연구진은 스마트폰, 스마트 스피커, IoT 같은 음성 비서로 구동되는 장치에 대해서 기계는 들을 수 있지만 사람은 들을 수 없는 초음파를 이용하여 조용하게 공격을 할 수 있는 "Near-Ultrasound Inaudible Tojan(NUIT)"이라는 새로운 공격을 개발했다고 한다. 해당 공격에 영향을 받는 장비로 애플의 Siri, 구글의 어시스턴트, 마이크로소프트의 Cortana, 아마존의 Alexa가 있으며, 해당 공격을 이용해서 악성 명령을 실행할 수 있다고 한다.
- NUIT 공격의 주요 원리
인간의 귀로는 들을수 없는 근초음파(Near-Ultrasound)를 이용하여 응답이 가능하기 때문에 기존 스피커를 계속 사용하면서 노출의 위험이 최소화될 수 있다.
- NUIT 공격 예시
1) 미디어, YouTube 비디오를 재생하는 웹 사이트에서 악성 미디어를 재생하도록 하는 사회공학적 공격
2) Zoom 미팅 중에 공격 신호를 삽입하면 컴퓨터 옆에 있는 전화기 해킹 가능
3) IoT가 연결된 스마트폰에 해당 공격을 보내면 문을 열고, 집 경보기 비활성화와 같은 공격이 가능
4) 브라우저 취약성을 악용하여 '워터링 홀' 웹 사이트로 스마트폰 유도 가능
- NUIT 공격이 성공하기 위한 조건
1) 일정 볼륨 이상으로 설정
2) 명령은 0.77초 동안만 지속됨
- NUIT 공격에 대응하는 방법
1) 음성지문으로 스마트기기 인증이 가능하면 해당 방식 활성화
2) 스피커 대신 이어폰을 사용하여 소리를 듣거나 소리를 방송
권준 기자, 초음파 공격으로 AI 스피커 등 스마트홈 시스템 해제 가능, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116844&page=1&kind=1
초음파 공격으로 AI 스피커 등 스마트홈 시스템 해제 가능
IT 외신 레지스터에 의하면 미국 연구진이 스마트 장치 마이크와 음성 비서의 취약점을 악용하여 스마트폰과 홈 장치에 자동으로 원격에서 액세스할 수 있는 Near-Ultrasound Inaudible Trojan용 NUIT라는
www.boannews.com
Bill Toulas, Inaudible ultrasound attack can stealthily control your phone, smart speaker, BLEEPING COMPUTER, https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/
Inaudible ultrasound attack can stealthily control your phone, smart speaker
American university researchers have developed a novel attack which they named "Near-Ultrasound Inaudible Trojan" (NUIT) that can launch silent attacks against devices powered by voice assistants, like smartphones, smart speakers, and other IoTs.
www.bleepingcomputer.com
