음성명령에 의한 스마트폰 해킹가능성

보안연구자들이 최근 숨은 음성명령을 통해 기기를 해킹할 수 있는 방법을 찾아냈다. 사용자가 노트북, 데스크탑, 스마트TV, 스마트폰, 태블릿으로 특수 조작된 유투브 영상을 청취할 경우 구글 나우(Google Now)나 애플 시리(Apple Siri)와 같은 음성인식 프로그램이 숨은 음성명령의 기만에 빠져 공격자의 의도대로 행동할 수 있다.

캘리포니아대학교, 버클리대학교, 조지타운대학교 소속 연구진은 프로젝트 페이지를 통해 숨겨진 음성명령을 두고 "사람은 청취할 수 없지만 기기는 이를 명령으로 인식한다"고 설명하고 있다.

[참고]프로젝트 페이지: http://www.hiddenvoicecommands.com/

연구진이 논문에서도 밝힌 내용에 따르면 대부분의 사용자들이 언제든 음성명령을 인식시킬 수 있도록 기기를 상시로 켜진 상태로 두며 이를 통해 휴대전화 해킹이 가능했다고 한다.

[참고]논문: https://security.cs.georgetown.edu/~tavish/hvc_usenix.pdf

아래 링크를 통해 연구진이 음성해킹을 시연하는 과정을 영상으로 볼 수 ㅇ있으며 여기에서 해당 음성명령도 들어볼 수 있다. 이 영상을 보면 먼저 음성인식 어플리케이션이 명령을 해독하여 그 내용대로 행동하는 장면을  볼 수 있다. 만약 기기 사용자 측에서 명령을 듣는다면 이를 취소해 버리면 그만이다. 연구진은 이에 착안하여 명령을 숨기고 기기만이 인식할 수 있도록 했으며 인간은 이 명령을 이해할 수 없고 심지어 알아채기도 어렵다.

[참고]시연영상 https://www.youtube.com/watch?v=HvZAZFztlO0

연구진은 시연을 통해 xhcd.com이라는 사이트를 열도록 하는 명령을 내렸다. 이는 휴대전화가 맬웨어 감염 사이트에 접속하도록 지시를 내릴 수 있음을 의미한다. 또한 숨은 명령이 행사장의 고음 스피커나 인기 유투브 영상에 삽입될 경우 이러한 공격의 효과가 훨씬 커질 수 있다고도 한다.

연구진은 이러한 공격가능성의 대비책으로 음성명령 인식사실에 대한 사용자 알림, 음성에 의한 challenge -response 프로토콜 적용, 기계학습 등을 제시하고 있으며 이들 방법은 100%에 가까운 정확도를 가진다고 한다.

VIPRE Security News, Smart Phones Hacked Through Hidden Voice Commands, 7. 21. 2016.

https://blog.vipreantivirus.com/important-news/smart-phones-hacked-hidden-voice-commands/

번역: madfox

참고링크 

<유료안티바이러스 제품비교>