Alexa, Google Assistant e Siri vulnerabili ad attacchi di hacking con laser

Un gruppo di ricercatori ha scoperto una falla di sicurezza che consente agli hacker di compromettere gli altoparlanti smart per la casa puntando un raggio laser appositamente progettato verso i loro microfoni e iniettando comandi vocali.

Ciò che è interessante è che la stessa vulnerabilità può essere utilizzata per compromettere qualsiasi computer che include un microfono, così come smartphone e tablet.

Lo studio è stato condotto da ricercatori dell’Università delle Comunicazioni Elettriche di Tokyo e dell’Università del Michigan. La vulnerabilità è stata dettagliata in un nuovo documento intitolato “Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems.”

La falla, soprannominata ‘Light Commands’, utilizza principalmente i laser per manipolare gli altoparlanti smart con comandi falsi. Può anche essere utilizzata per accedere ad altri sistemi che sono connessi tramite un altoparlante smart, come la porta d’ingresso protetta da smartlock, le porte del garage connesse, lo shopping online, la localizzazione e l’avvio remoto di alcuni veicoli, e altro ancora.

“Light Commands è una vulnerabilità dei microfoni MEMS che consente agli attaccanti di iniettare comandi inaudibili e invisibili negli assistenti vocali, come Google Assistant, Amazon Alexa, Facebook Portal e Apple Siri utilizzando la luce,” hanno scritto i ricercatori. “Nel nostro documento dimostriamo questo effetto, utilizzando con successo la luce per iniettare comandi dannosi in diversi dispositivi controllati vocalmente come altoparlanti smart, tablet e telefoni a grandi distanze e attraverso finestre di vetro.”

I microfoni MEMS (sistema microelettromeccanico) in alcuni degli altoparlanti smart e smartphone più popolari sono così sensibili che interpretano la luce brillante del laser come suono.

I ricercatori sono stati in grado di ingannare Siri e altri assistenti AI da una distanza di fino a 360 piedi (110 metri) semplicemente focalizzando la luce laser e persino controllare un dispositivo in un edificio da un campanile a 230 piedi (70 metri) di distanza facendo brillare la loro luce attraverso una finestra.

Oltre agli altoparlanti smart, alcuni degli altri dispositivi testati erano Amazon Echo, Apple HomePod, iPhone XR, Google Pixel 2, Samsung Galaxy S9, Facebook Portal Mini, ecc.

“I microfoni convertono il suono in segnali elettrici. La principale scoperta dietro i comandi luminosi è che, oltre al suono, i microfoni reagiscono anche alla luce mirata direttamente su di essi,” hanno scritto i ricercatori.

“Pertanto, modulando un segnale elettrico nell’intensità di un fascio di luce, gli attaccanti possono ingannare i microfoni facendoli produrre segnali elettrici come se stessero ricevendo audio genuino.”

Google, che è a conoscenza della ricerca, ha confermato che sta “esaminando attentamente questo documento di ricerca.” L’azienda ha aggiunto: “Proteggere i nostri utenti è fondamentale e stiamo sempre cercando modi per migliorare la sicurezza dei nostri dispositivi.”

Sebbene la vulnerabilità suoni certamente allarmante, non è un exploit facile da realizzare. Richiede un setup piuttosto sofisticato, un puntatore laser, un driver laser, un amplificatore audio, un obiettivo teleobiettivo e altro ancora.

Tuttavia, puoi adottare alcune semplici misure preventive per evitare tali attacchi disabilitando i tuoi dispositivi quando non sono in uso, tenendo i tuoi dispositivi fuori dalla vista del raggio laser e impostando misure di sicurezza come PIN e altri requisiti di autenticazione utente sui tuoi dispositivi quando possibile.