Gli hacker possono dirottare Siri, Assistente Google utilizzando le onde ultrasoniche

Un gruppo di ricercatori sulla sicurezza ha scoperto un nuovo metodo per hackerare gli assistenti vocali degli smartphone, compresi quelli utilizzati da Siri e Google inviando comandi vocali tramite onde ultrasoniche.

Soprannominato come Surf Attack, questo attacco consente a un hacker di controllare Siri e Google Assistant di Apple inviando vibrazioni impercettibili attraverso un tavolo da 9 metri di distanza all’insaputa del proprietario del telefono.

La ricerca è stata condotta da un gruppo di accademici della Michigan State University, dell’Università del Nebraska-Lincoln, della Washington University di St. Louis e dell’Accademia cinese delle scienze.

Nel suo ruolo SurfingAttack: attacco invisibile interattivo agli assistenti vocali che utilizzano onde guidate ad ultrasuoni, i ricercatori hanno dimostrato come gli assistenti vocali degli smartphone possono essere sfruttati attraverso oggetti solidi come un tavolo di metallo, vetro o legno utilizzando onde ultrasoniche.

Fondamentalmente, SurfingAttack modula il comando vocale nella banda di frequenza impercettibile e trasmette i segnali di attacco utilizzando un trasduttore PZT standard (costa $ 5 a pezzo) attraverso diversi tipi di tavoli realizzati in materiali solidi.

I ricercatori hanno testato la loro tecnica SurfingAttack su 17 modelli di Apple, Google, Samsung, Motorola, Xiaomi e Huawei. Di questi, 13 modelli eseguivano Android con Google Assistant e quattro iPhone avevano Siri di Apple.

I ricercatori sono stati in grado di assumere con successo il controllo di 15 dei 17 smartphone. Tuttavia, la tecnica era inefficace contro il Mate 9 di Huawei e il Galaxy Note 10+ di Samsung, poiché il materiale di costruzione di questi telefoni “smorzava le onde ultrasoniche”.

Sono stati in grado di attivare con successo gli assistenti vocali, ordinare loro di sbloccare dispositivi, dirottare codici di autenticazione a due fattori SMS, scattare selfie ripetuti e persino farli effettuare chiamate fraudolente.

Per nascondere l’attacco alla vittima, gli investigatori hanno abbassato il volume del microfono nascosto in modo che le risposte vocali non fossero evidenti.

“Sfruttando le proprietà uniche della trasmissione acustica nei materiali solidi, abbiamo progettato un nuovo attacco chiamato SurfingAttack che consentirebbe più round di interazioni tra il dispositivo a comando vocale e l’aggressore a una distanza maggiore”, hanno detto i ricercatori sul loro sito web .

“SurfingAttack consente nuovi scenari di attacco, come il dirottamento di un codice di accesso SMS (Short Message Service) mobile, l’effettuazione di chiamate fraudolente all’insaputa dei proprietari, ecc.”

“Vogliamo aumentare la consapevolezza su una tale minaccia”, detto Ning Zhang, assistente professore di informatica e ingegneria a St Louis. “Voglio che tutti nel pubblico lo sappiano”.

I ricercatori suggeriscono le seguenti misure per difendersi da SurfingAttack:

  • Stai attento ai tuoi dispositivi posizionati sui tavoli.
  • Riduci la superficie di contatto dei tuoi telefoni con il tavolo.
  • Posizionare il dispositivo su un panno morbido prima di toccare il tavolo.
  • Usa custodie per telefoni più spesse realizzate con materiali insoliti come il legno.
  • Disattiva i risultati della schermata di blocco personale (o sblocca con Voice Match) su Android.
  • Disattiva l’assistente vocale nella schermata di blocco e blocca il dispositivo quando lo lasci.

I risultati sono stati presentati al Distributed Systems and Network Security Symposium a San Diego, California, il 24 febbraio, e anche successivamente pubblicato un riepilogo sul sito web dell’università.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *