Gli hacker possono prendere il controllo di Siri e Google Assistant utilizzando onde ultrasoniche

Un gruppo di ricercatori sulla sicurezza ha scoperto un nuovo metodo per hackerare gli assistenti vocali degli smartphone, inclusi quelli utilizzati da Siri e Google, inviando comandi vocali tramite onde ultrasoniche.

Denominato SurfingAttack, questo attacco consente a un hacker di controllare Siri di Apple e Google Assistant inviando vibrazioni inaudibili attraverso un tavolo da 30 piedi di distanza senza la conoscenza del proprietario del telefono.

La ricerca è stata condotta da un gruppo di accademici della Michigan State University, dell’Università del Nebraska-Lincoln, della Washington University di St. Louis e dell’Accademia Cinese delle Scienze.

Nel loro articolo, SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves, i ricercatori hanno dimostrato come gli assistenti vocali degli smartphone possano essere sfruttati attraverso oggetti solidi, come metallo, vetro o tavoli di legno utilizzando onde ultrasoniche.

Fondamentalmente, SurfingAttack modula il comando vocale sulla banda di frequenza inaudibile e trasmette segnali di attacco utilizzando un trasduttore PZT commerciale (costo $5 per pezzo) attraverso diversi tipi di tavoli realizzati con materiali solidi.

I ricercatori hanno testato la loro tecnica SurfingAttack su 17 modelli di Apple, Google, Samsung, Motorola, Xiaomi e Huawei. Di questi, 13 modelli eseguivano Android con Google Assistant e quattro iPhone avevano Siri di Apple.

I ricercatori sono stati in grado di prendere il controllo con successo di 15 degli 17 smartphone. Tuttavia, la tecnica è risultata inefficace contro il Mate 9 di Huawei e il Galaxy Note 10+ di Samsung, poiché il materiale di costruzione di questi telefoni “attutiva le onde ultrasoniche.”

Sono stati in grado di attivare con successo gli assistenti vocali, ordinarli di sbloccare i dispositivi, di dirottare i codici di autenticazione a due fattori SMS, di scattare selfie ripetuti e persino di farli effettuare chiamate fraudolente.

Per nascondere l’attacco alla vittima, i ricercatori hanno abbassato il volume del microfono nascosto per rendere le risposte vocali impercettibili.

“Sfruttando le proprietà uniche della trasmissione acustica nei materiali solidi, progettiamo un nuovo attacco chiamato SurfingAttack che consentirebbe più round di interazioni tra il dispositivo controllato vocalmente e l’attaccante su una distanza maggiore,” hanno dichiarato i ricercatori sul loro sito web.

“SurfingAttack consente nuovi scenari di attacco, come il dirottamento di un codice di accesso SMS mobile, effettuare chiamate fraudolente fantasma senza la conoscenza dei proprietari, ecc.”

“Vogliamo aumentare la consapevolezza di una tale minaccia,” ha detto Ning Zhang, professore assistente di informatica e ingegneria a St. Louis. “Voglio che tutti nel pubblico lo sappiano.”

I ricercatori suggeriscono le seguenti misure per difendersi da SurfingAttack:

• Tieni d’occhio i tuoi dispositivi posizionati sui tavoli.

• Riduci l’area di contatto dei tuoi telefoni con il tavolo.

• Posiziona il dispositivo su un tessuto morbido prima di toccare i tavoli.

• Usa custodie per telefoni più spesse realizzate con materiali poco comuni come il legno.

• Disattiva i risultati personali della schermata di blocco (o sblocca con il riconoscimento vocale) su Android.

• Disabilita il tuo Assistente Vocale sulla schermata di blocco e blocca il tuo dispositivo quando lo metti giù.

I risultati sono stati presentati al Network and Distributed Systems Security Symposium a San Diego, California, il 24 febbraio, e successivamente è stata pubblicata una sintesi sul sito web dell’università.