Hackers Podem Sequestrar Siri e Google Assistant Usando Ondas Ultrassônicas

Um grupo de pesquisadores de segurança descobriu um novo método para hackear assistentes de voz de smartphones, incluindo aqueles usados pelo Siri e Google, enviando comandos de voz através de ondas ultrassônicas.

Batizado de SurfingAttack, esse ataque permite que um hacker controle o Siri da Apple e o Google Assistant enviando vibrações inaudíveis através de uma mesa a 30 pés de distância, sem o conhecimento do proprietário do telefone.

A pesquisa foi realizada por um grupo de acadêmicos da Michigan State University, da University of Nebraska-Lincoln, da Washington University em St. Louis e da Academia Chinesa de Ciências.

Em seu artigo, SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves, os pesquisadores demonstraram como assistentes de voz de smartphones podem ser explorados através de objetos sólidos, como mesas de metal, vidro ou madeira, usando ondas ultrassônicas.

Basicamente, o SurfingAttack modula o comando de voz na faixa de frequência inaudível e transmite sinais de ataque usando um transdutor PZT comercial (custo de $5 por peça) através de diferentes tipos de mesas feitas de materiais sólidos.

Os pesquisadores testaram sua técnica SurfingAttack em 17 modelos da Apple, Google, Samsung, Motorola, Xiaomi e Huawei. Desses, 13 modelos estavam rodando Android com Google Assistant, e quatro iPhones tinham o Siri da Apple.

Os pesquisadores conseguiram assumir o controle de 15 dos 17 smartphones. No entanto, a técnica foi ineficaz contra o Huawei Mate 9 e o Samsung Galaxy Note 10+, pois o material de construção desses telefones “amortecia as ondas ultrassônicas.”

Eles conseguiram ativar com sucesso os assistentes de voz, comandá-los a desbloquear dispositivos, sequestrar códigos de autenticação de dois fatores via SMS, tirar selfies repetidas e até mesmo fazer chamadas fraudulentas.

Para esconder o ataque da vítima, os pesquisadores diminuíram o volume do microfone oculto para tornar as respostas de voz imperceptíveis.

“Ao aproveitar as propriedades únicas da transmissão acústica em materiais sólidos, projetamos um novo ataque chamado SurfingAttack que permitiria múltiplas rodadas de interações entre o dispositivo controlado por voz e o atacante a uma distância maior,” disseram os pesquisadores em seu site.

“O SurfingAttack possibilita novos cenários de ataque, como sequestrar um código de acesso de Serviço de Mensagens Curtas (SMS), fazer chamadas fraudulentas fantasma sem o conhecimento dos proprietários, etc.”

“Queremos aumentar a conscientização sobre tal ameaça,” disse Ning Zhang, professor assistente de ciência da computação e engenharia em St. Louis. “Quero que todos no público saibam disso.”

Os pesquisadores sugerem as seguintes medidas para se defender contra o SurfingAttack:

• Fique de olho em seus dispositivos colocados em mesas.

• Reduza a área de superfície de contato de seus telefones com a mesa.

• Coloque o dispositivo sobre um tecido macio antes de tocar nas mesas.

• Use capas de telefone mais grossas feitas de materiais incomuns, como madeira.

• Desative os resultados pessoais da tela de bloqueio (ou desbloqueie com correspondência de voz) no Android.

• Desative seu Assistente de Voz na tela de bloqueio e trave seu dispositivo quando o colocar para baixo.

Os resultados foram apresentados no Network and Distributed Systems Security Symposium em San Diego, Califórnia, em 24 de fevereiro, e também foi publicado um resumo no site da universidade.