Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Manipuler un smartphone à l’aide de commandes vocales dissimulées dans des vidéos Youtube

Des chercheurs de l’Université de Georgetown et UC Berkeley ont mis au point une attaque qui permet de compromettre un smartphone à l’aide de commandes vocales planquées dans des vidéos YouTube.

Pour y parvenir, ils cachent à l’intérieur de vidéo YouTube des commandes vocales, incompréhensibles par l’homme, mais pas par un smartphone équipé de Siri ou de Google Now.

Si le téléphone est assez près pour « entendre » la vidéo, les commandes peuvent alors être lancées. Au programme (et ce n’est qu’un exemple), ouverture de site web, téléchargement et installation de malware.

Et tout cela sans que le propriétaire du smartphone ne s’en rende compte. Évidemment, si on tend l’oreille, on peut remarquer ces voix étranges dans les vidéos, mais difficile de savoir de quoi elles sont capables si on n’est pas informé du problème.

Démonstration :

Toutefois, vu que Siri ou Google Now bipent dans tous les sens ou répondent lorsqu’on leur envoie des commandes, c’est rapidement interceptable, mais si la personne n’est pas dans la pièce ou si elle a pris l’habitude d’ignorer ce genre de bips, ça passe comme une lettre à la poste.

L’année dernière, l’ANSSI avait publié un papier de recherche similaire, mais un peu plus balèze je trouve, à l’aide de signaux électromagnétiques captés par un casque audio avec microphone.

Pour contrer cette attaque, il faut tout simplement désactiver Siri ou Google Now, mais les constructeurs pourraient aussi intégrer des parades comme la reconnaissance unique de la voix du proprio du téléphone.

Reste à voir si, ce qui pour le moment n’est qu’un sujet de recherche, se transformera en véritable attaque transmise via YouTube ou plateforme équivalente.

Plus d’infos dans le PDF ici.

Source



Réponses notables

  1. perso je ne suis pas fan des commandes vocales … généralement j’utilise ca que pour faire rire mes gamins …
    Mais apres cet article je me demande jusqu’où on peut aller avec les commandes vocales ? je n’ai jamais testé plus que l’envoi d’un SMS ou ouvrir une page WEB … je vais donc regarder cela car ca à eu l’effet d’éveiller ma curiosité …

  2. Nym says:

    Alors que moi pour lancer une musique en vocal, il me faut 10mn et au final il appelle ma mère.

  3. C’est parceque tu n’as pas la voix d’un Goa’uld :joy:

Continuer la discussion sur Korben Communauté

3 commentaires supplémentaires dans les réponses

Participants

LNAV – Un visualisateur de fichiers de logs libre et pratique

LNAV (Logfile Navigator) est un outil dispo pour Linux et macOS qui permet de visualiser et de parcourir des fichiers de logs de manière agréable et efficace.
En plus de la coloration syntaxique, de la prise en charge de formats de logs standards (Syslog, CUPS, dpkg, sudo, strace…etc), LNAV est aussi capable de décompresser à la volée des logs zippés (ou gzippés ou bzippés) mais aussi de rassembler (merge) des logs segmentés pour en faciliter la visualisation.

Lire la suite



Une faille de sécurité dans les processeurs risque de diminuer jusqu’à 30% les performances des machines

La grosse news d’hier, ce n’était pas Logan Paul filmant un pendu au Japon, mais plutôt ce gros « problème » qui touche l’ensemble des processeurs Intel fabriqués durant ces 10 dernières années. Le problème est en réalité 2 failles de sécurité très importantes qui permettent à n’importe quel programme malicieux d’accéder en lecture à la mémoire utilisée par le kernel (le noyau de l’OS et ses modules interagissant avec le hardware).

Lire la suite



Bandwidth Hero – Surfez compressé pour économiser de la bande passante

Si vous êtes un peu juste en bande passante et que vous voulez accélérer un peu les choses, je vous propose aujourd’hui de jeter un œil à Bandwidth Hero.

Il s’agit d’une extension open source pour Chrome et Firefox qui fonctionne de concert avec un serveur proxy. Ce serveur proxy récupère chaque image que votre navigateur demande, la compresse au format WebP/JPEG en basse résolution et vous la renvoie ensuite directement.

Lire la suite