Les hackers peuvent détourner Siri et Google Assistant en utilisant des ondes ultrasonores

Un groupe de chercheurs en sécurité a découvert une nouvelle méthode pour pirater les assistants vocaux des smartphones, y compris ceux utilisés par Siri et Google, en envoyant des commandes vocales via des ondes ultrasonores.

Surnommé SurfingAttack, cette attaque permet à un hacker de contrôler Siri d’Apple et Google Assistant en envoyant des vibrations inaudibles à travers une table à 30 pieds de distance, sans que le propriétaire du téléphone ne le sache.

La recherche a été menée par un groupe d’académiques de l’Université d’État du Michigan, de l’Université du Nebraska-Lincoln, de l’Université de Washington à St. Louis et de l’Académie chinoise des sciences.

Dans leur article, SurfingAttack : attaque cachée interactive sur les assistants vocaux utilisant des ondes guidées ultrasonores, les chercheurs ont démontré comment les assistants vocaux des smartphones peuvent être exploités à travers des objets solides, tels que des tables en métal, en verre ou en bois, en utilisant des ondes ultrasonores.

Fondamentalement, SurfingAttack module la commande vocale sur la bande de fréquence inaudible et transmet des signaux d’attaque en utilisant un transducteur PZT standard (coût de 5 $ par pièce) à travers différents types de tables en matériaux solides.

Les chercheurs ont testé leur technique SurfingAttack sur 17 modèles d’Apple, Google, Samsung, Motorola, Xiaomi et Huawei. Parmi ceux-ci, 13 modèles exécutaient Android avec Google Assistant, et quatre iPhones avaient Siri d’Apple.

Les chercheurs ont réussi à prendre le contrôle de 15 des 17 smartphones. Cependant, la technique était inefficace contre le Mate 9 de Huawei et le Galaxy Note 10+ de Samsung, car le matériau de construction de ces téléphones « atténuait les ondes ultrasonores ».

Ils ont pu activer avec succès les assistants vocaux, leur ordonner de déverrouiller des appareils, détourner des codes d’authentification à deux facteurs par SMS, prendre des selfies répétés, et même leur faire passer des appels frauduleux.

Pour cacher l’attaque à la victime, les chercheurs ont réduit le volume du microphone dissimulé pour rendre les réponses vocales imperceptibles.

« En tirant parti des propriétés uniques de la transmission acoustique dans les matériaux solides, nous concevons une nouvelle attaque appelée SurfingAttack qui permettrait plusieurs interactions entre le dispositif contrôlé par la voix et l’attaquant sur une plus longue distance », ont déclaré les chercheurs sur leur site web.

« SurfingAttack permet de nouveaux scénarios d’attaque, tels que le détournement d’un code d’accès SMS mobile, passer des appels frauduleux à l’insu des propriétaires, etc. »

« Nous voulons sensibiliser à une telle menace », a déclaré Ning Zhang, professeur assistant en informatique et en ingénierie à St Louis. « Je veux que tout le monde sache cela. »

Les chercheurs suggèrent les mesures suivantes pour vous défendre contre SurfingAttack :

• Gardez un œil sur vos appareils placés sur des tables.
• Réduisez la surface de contact de vos téléphones avec la table.
• Placez l’appareil sur un tissu tissé doux avant de toucher les tables.
• Utilisez des coques de téléphone plus épaisses en matériaux peu courants comme le bois.
• Désactivez les résultats personnels de l’écran de verrouillage (ou déverrouillez avec la correspondance vocale) sur Android.
• Désactivez votre assistant vocal sur l’écran de verrouillage et verrouillez votre appareil lorsque vous le posez.

Les résultats ont été présentés au Symposium sur la sécurité des systèmes réseau et distribués à San Diego, Californie, le 24 février, et un résumé a également été publié sur le site de l’université.