Các nhà nghiên cứu bảo mật vừa phát hiện ra cách tấn công "siêu nguy hiểm" vào các trợ lý ảo thông minh như Siri hoặc Alexa..., khiến chủ nhân của các thiết bị này có thể đột ngột "trắng tay".
Mới đây, U.S và các nhà nghiên cứu bảo mật Trung Quốc đã phát hiện ra một phương pháp để bí mật ra lệnh cho các trợ ảo. Bằng các lệnh này, họ có thể yêu cầu Siri (trên iPhone) hoặc Alexa (trên loa thông minh của Amazon) tiến hành mọi việc như gọi điện thoại, chuyển khoản ngân hàng, mua sắm online..., mà chủ nhân của thiết bị hề hay biết và cũng không cần chủ nhân ra lệnh nữa.
Cụ thể, các lệnh này có thể được nhúng trong một bài hát, văn bản (nói) hoặc các bản ghi âm khác. Khi những thông điệp này được phát trong khoảng cách gần một Amazon Echo hoặc iPhone, những người gần đó sẽ chỉ nghe thấy các âm thanh vô hại thông thường, nhưng các trợ lý ảo trên các thiết bị "sẽ nghe thấy những thông điệp bí ẩn" và thực hiện sau đó mà chủ nhân không hề hay biết.
Các trợ lý ảo như Siri hoặc Alexa..., cũng có thể bị tấn công, khiến chủ nhân của các thiết bị này đột ngột "trắng tay". |
Các nhà nghiên cứu đã thử nghiệm hướng dẫn trợ lý ảo quay số điện thoại, mua các mặt hàng trực tuyến hoặc truy cập trang web. Thậm chí, có thể yêu cầu các trợ lý ảo kia thực hiện những nhiệm vụ nguy hiểm hơn, như chuyển tiền bí mật vào tài khoản hoặc mở các cửa thông minh trong nhà.
Trước phát hiện này, một mối quan ngại lớn đã được đặt ra, được nêu trong một bài nghiên cứu khoa học do các sinh viên đại học California, Berkeley và đại học Georgetows viết, và đã được xuất bản trong tháng này. Theo đó, nếu các loại công nghệ tương tự được phát triển và nằm trong tay những phần tử xấu (hacker) thì hậu họa của chúng thật khôn lường đối với chủ nhân của các thiết bị. Bởi họ dễ dàng bị trắng tay, mất hết tiền trong tài khoản ngân hàng,... và điều này hoàn toàn có thể xảy ra, chưa kể đến những nguy hiểm ngoài dự kiến.
Hồi năm ngoái, một nhóm các nhà nghiên cứu bảo mật của Trung Quốc và Mỹ cũng đã thực hiện các thí nghiệm tương tự và họ sử dụng một phương pháp gọi là Dolphin Attack. Hay một nhóm khác (thuộc đại học Illinois) cũng đã chứng minh được việc dùng "những lệnh bí mật" để điều khiển các trợ lý ảo, có thể hoạt động ở vị trí cách xa tới 25 feet (khoảng 7,6 mét).
Nicholas Carlini, một trong những tác giả nghiên cứu gần đây về vấn đề này đã nói với tờ The Times rằng, ông hoàn toàn tự tin là đội của ông có thể sớm cung cấp được các "lệnh ẩn” để khai thác bất kỳ thiết bị thông minh nào hiện có trên thị trường. Liên quan đến vụ việc, hiện Apple cũng có một số cơ chế nhằm giảm thiểu rủi ro từ các cuộc tấn công này. Chẳng hạn, với các thiết bị iOS của hãng đều yêu cầu mật mã để thực hiện các lệnh Siri mở khóa cửa thông minh, tuy nhiên với HomePod của họ thì không.
Bởi thế, Carlini cũng hi vọng việc công bố các nghiên cứu mới của mình sẽ cảnh báo được cho các công ty công nghệ để có thể thực hiện các sửa chữa nghiêm ngặt hơn.