아이폰에 적용된 음성비서 시리나 안드로이드폰이 제공하는 음성인식기능인 구글 나우 등을 악용한 해킹이 가능한 것으로 나타났으나 현실에서는 여전히 여러가지 제약이 따르는 것으로 확인됐다.
15일(현지시간) 미국 지디넷, 와이어드 등 외신에 따르면 프랑스 정부 산하 정보보안그룹인 ANSSI 소속 연구원들이 이러한 사실을 연구한 결과를 공개했다.
ANSSI 소속 조세 로페스 에스티브스, 카우키 카스미 연구원에 따르면 스마트폰 사용자들이 쓰는 이어폰, 헤드폰의 케이블이 일종의 안테나 역할을 해 원격에서 공격자들이 음성명령을 통해 대상 스마트폰을 조작할 수 있다는 설명이다.
이러한 방법을 악용하면 대상 스마트폰이 미리 설정된 악성 웹사이트에 접속해 악성코드를 다운로드 받거나 음성통화를 연결해 스마트폰 사용자가 누구와 어떤 대화를 나누고 있는지도 몰래 도감청할 수 있게 된다. 스마트폰 사용자 명의로 악성메일이나 스팸문자를 보내 피싱 공격에 악용될 수도 있다.
공격자에게 필요하 것은 원격에서 헤드폰 케이블에 전자기파를 보내기 위한 안테나와 오픈소스로 공개되는 그누(GNU) 라디오 소프트웨어, 증폭기, 노트북이다.
실제 테스트를 통해 이들은 최소 2미터에서 최대 5미터 가량 떨어진 거리에서 공격이 가능하다는 점을 시연했다.
관련기사
- 지문 인식 기반 결제 안전할까? 관심↑2015.10.16
- 대리점 통한 자동차 해킹 공격법 등장2015.10.16
- 세계 유명 해커가 모이면 뭘하고 놀까2015.10.16
- 하드웨어 해킹, 이제는 상상 아닌 현실2015.10.16
그러나 이런 수법으로 당장 피해자가 나올 가능성은 적은 편이다. 거리에 따라 고성능 안테나와 고용량 배터리를 사용해야하는 탓에 5미터 거리에 있는 스마트폰을 공격하려면 해킹에 필요한 장비들을 들고다니기 힘들기 때문이다. 약 2미터 거리에서는 백팩에 필요한 장비들을 숨겨 놓아 공격이 가능할 수도 있다.
또 다른 제약은 아이폰6S와 최신 안드로이드폰에서는 음성명령을 내리는 본인의 음성만을 인식한다는 것이다. 아예 이러한 서비스를 사용하지 않도록 설정할 수 있다는 점도 당장 현실에서 공격이 쉽지 않다는 점을 보여준다.