Hacker können Siri und Google Assistant mit Ultraschallwellen übernehmen

Eine Gruppe von Sicherheitsforschern hat eine neue Methode entdeckt, um Sprachassistenten auf Smartphones, einschließlich Siri und Google, zu hacken, indem sie Sprachbefehle über Ultraschallwellen senden.

Mit dem Namen SurfingAttack ermöglicht dieser Angriff einem Hacker, Apples Siri und Google Assistant zu steuern, indem er unhörbare Vibrationen durch einen Tisch aus 30 Fuß Entfernung sendet, ohne dass der Besitzer des Telefons davon Kenntnis hat.

Die Forschung wurde von einer Gruppe von Akademikern der Michigan State University, der University of Nebraska-Lincoln, der Washington University in St. Louis und der Chinesischen Akademie der Wissenschaften durchgeführt.

In ihrem Papier, SurfingAttack: Interaktiver versteckter Angriff auf Sprachassistenten mit Hilfe von ultraschallgeführten Wellen, haben die Forscher demonstriert, wie Sprachassistenten auf Smartphones durch feste Objekte wie Metall, Glas oder Holztische mit Ultraschallwellen ausgenutzt werden können.

Im Grunde modifiziert SurfingAttack den Sprachbefehl auf das unhörbare Frequenzband und überträgt Angriffs-Signale mithilfe eines handelsüblichen PZT-Wandlers (Kosten $5 pro Stück) durch verschiedene Arten von Tischen aus festen Materialien.

Die Forscher testeten ihre SurfingAttack-Technik an 17 Modellen von Apple, Google, Samsung, Motorola, Xiaomi und Huawei. Davon liefen 13 Modelle mit Android und Google Assistant, und vier iPhones hatten Apples Siri.

Die Forscher konnten erfolgreich die Kontrolle über 15 der 17 Smartphones übernehmen. Die Technik war jedoch gegen Huaweis Mate 9 und Samsungs Galaxy Note 10+ ineffektiv, da das Konstruktionsmaterial dieser Telefone „die Ultraschallwellen dämpfte“.

Sie konnten die Sprachassistenten erfolgreich aktivieren, sie anweisen, Geräte zu entsperren, SMS-Zwei-Faktor-Authentifizierungscodes zu übernehmen, wiederholt Selfies zu machen und sogar betrügerische Anrufe zu tätigen.

Um den Angriff vor dem Opfer zu verbergen, reduzierten die Forscher die Lautstärke des versteckten Mikrofons, um die Sprachantworten unauffällig zu machen.

„Durch die Nutzung der einzigartigen Eigenschaften der akustischen Übertragung in festen Materialien entwerfen wir einen neuen Angriff namens SurfingAttack, der mehrere Interaktionen zwischen dem sprachgesteuerten Gerät und dem Angreifer über eine größere Distanz ermöglicht“, sagten die Forscher auf ihrer Website.

„SurfingAttack ermöglicht neue Angriffszenarien, wie das Übernehmen eines mobilen Short Message Service (SMS) Passcodes, das Tätigen von betrügerischen Anrufen ohne Wissen der Besitzer usw.“

„Wir möchten das Bewusstsein für eine solche Bedrohung schärfen“, sagte Ning Zhang, Assistenzprofessor für Informatik und Ingenieurwesen in St. Louis. „Ich möchte, dass jeder in der Öffentlichkeit davon erfährt.“

Die Forscher schlagen folgende Maßnahmen vor, um sich gegen SurfingAttack zu verteidigen:

• Achten Sie auf Ihre Geräte, die auf Tischen platziert sind.
• Reduzieren Sie die Berührungsfläche Ihrer Telefone mit dem Tisch.
• Legen Sie das Gerät auf einen weichen, gewebten Stoff, bevor Sie die Tische berühren.
• Verwenden Sie dickere Handyhüllen aus ungewöhnlichen Materialien wie Holz.
• Deaktivieren Sie persönliche Ergebnisse auf dem Sperrbildschirm (oder entsperren Sie mit Sprachübereinstimmung) auf Android.
• Deaktivieren Sie Ihren Sprachassistenten auf dem Sperrbildschirm und sperren Sie Ihr Gerät, wenn Sie es ablegen.

Die Ergebnisse wurden am 24. Februar auf dem Network and Distributed Systems Security Symposium in San Diego, Kalifornien, präsentiert und anschließend eine Zusammenfassung auf der Website der Universität veröffentlicht.