Piratage par commande vocale| Voice Hacking to Spread Ransomware

(English version below)

Pour Noël, vous avez certainement planifié de vous acheter ou d’offrir un des nombreux assistants vocaux disponibles sur le marché. De plus en plus de gens achètent ce type d’appareil ainsi que des appareils intelligents pour des raisons de commodité et de sécurité. Les interactions informatiques activées par la voix sont intégrées dans notre vie quotidienne telles que dans nos véhicules, moniteurs d’activité, téléphones intelligents, système de divertissement à domicile et bien plus. Il est maintenant possible programmer à l’aide de notre voix des appareils de maison intelligente, tels que le thermostat, la télévision et même la machine à laver en utilisant simplement les commandes vocales. Certains assistants vocaux tels qu’Echo d’Amazon ou l’Assistant de Google répondent à n’importe quelle voix mais Siri d’Apple ne répond seulement qu’à l’utilisateur enregistré. Aussi, par défaut, la plupart des appareils à commandes vocales sont toujours allumés. Bien que ces appareils soient utiles dans notre vie quotidienne, ils peuvent entrainer de graves conséquences en matière de sécurité.

Les téléphones intelligents à commande vocale peuvent poser un risque important au public telles que la brèche de données, les attaques d’ingénierie sociale, les attaques par dénis de service (DoS en anglais) ou les attaques par dénis de service distribués (DDoS en anglais). Avec près de 60% des appareils actifs fonctionnant avec plus de deux versions antérieures à la version actuelle, une majorité des appareils Android est vulnérables à des attaques de logiciels malveillants (Android.com, 2017).

Dans cette étude, Bryson Payne et ses collègues de l’Université de Géorgie du Nord ont présenté un concept utilisant les commandes vocales d’un téléphone intelligent Android comme vecteur d’attaques afin de pirater un appareil Android et utiliser ce dernier pour scanner et exploiter les vulnérabilités d’ordinateur Windows sur n’importe quel réseau sans-fil. Les auteurs ont été capable de créer un chainon d’attaques permettant, via une commande vocale sur un appareil Android 5.0 ou 5.1 ou via un hyperlien, d’ouvrir un site web et de télécharger un logiciel malveillant, de compromettre un appareil Android, de détecter les vulnérabilités d’un ordinateur Windows et exécuter des logiciels de rançon ou autres attaques destructives, sur des ordinateurs de bureau et des ordinateurs portables, et ce, à distance.

Cette étude nous rappelle l’importance de restreindre ou désactiver les services vocaux mais aussi de maintenir les patchs de sécurité à jour sur les appareils mobiles ainsi que les ordinateurs de bureau et portables. Pour les entreprises, un bon réseau et une segmentation des données, l’application de mise à jour de sécurité sur ses appareils ainsi que n’importe quel appareil utilisant le réseau de l’entreprise, et la surveillance active de la circulation ou du comportement douteux des appareils connectés sont les marches à suivre pour empêcher ce type d’attaques.

Cite: Payne, B. R., Mazuran, L. I. and Abegaz, T. (2018). Voice Hacking: Using Smartphones to Spread Ransomware to Traditional PCs. Journal of Cybersecurity Education, Research and Practice. 2018 (1).

Source: https://digitalcommons.kennesaw.edu/jcerp/vol2018/iss1/2


Voice-activated smartphones could be a significant security risk to the public with threats such as data breach, social engineering attacks, denial of service (DoS) or distributed denial of services (DDoS). A majority of Android devices are vulnerable to malware attacks, with almost 60% of active devices running more than two full versions behind the current release (Android.com, 2017).

In this study, Bryson Payne and his colleagues from University of North Georgia presented a working proof of concept that can use voice commands on Android smart phones as an attack vector to hijack a user’s Android device and use it to scan for and exploit vulnerable Windows PC’s on any wireless network. The authors were able to create an attack chain allowing a voice command on Android 5.0 or 5.1 devices, or a clicked hyperlink on Android devices to open a web site in order to compromise the Android device, scan for vulnerable Windows PCs, and execute ransomware and other destructive attacks on traditional desktops and laptops remotely.

This study reminds us the importance of restricting or disabling voice services and maintaining up-to-date security patches for both mobile devices and desktop/laptop computers. For organizations, a proper network and data segmentation, applying security updates for company-owned devices and for any personal devices, as well as actively monitoring suspicious traffic or behaviour from connected mobile are keys to preventing these types of attacks.

Cite: Payne, B. R., Mazuran, L. I. and Abegaz, T. (2018). Voice Hacking: Using Smartphones to Spread Ransomware to Traditional PCs. Journal of Cybersecurity Education, Research and Practice. 2018 (1).

Source: https://digitalcommons.kennesaw.edu/jcerp/vol2018/iss1/2