Come riportato da The Hacker News, ricercatori hanno scoperto un nuovo mezzo che gli hacker utilizzano per controllare gli assistenti vocali di smartphone & C., le onde ultrasoniche, propagate attraverso materiali solidi al fine di interagire e compromettere i dispositivi all’insaputa delle vittime.
Chiamato “SurfingAttack”, l’attacco sfrutta le proprietà uniche della trasmissione acustica attraverso materiali solidi – come ad esempio un tavolo – per abilitare più interazioni tra il dispositivo a comando vocale della vittima e l’attaccante su una distanza più lunga e senza la necessità di vedere il dispositivo.
In tal modo, è possibile che un utente malintenzionato interagisca con i dispositivi utilizzando gli assistenti vocali, dirottando ad esempio i codici di autenticazione a due fattori inviati via SMS e persino effettuando chiamate fraudolente.
La ricerca è stata pubblicata da un gruppo di accademici della Michigan State University, della Washington University di St. Louis, della Chinese Academy of Sciences e della University of Nebraska-Lincoln.
Come funziona il SurfingAttack?
I microfoni MEMS, che sono uno standard nella maggior parte dei dispositivi controllati dall’assistente vocale, contengono una piccola piastra incorporata chiamata diaframma, che quando viene colpita da onde sonore o luminose, viene tradotta in un segnale elettrico che viene quindi decodificato in comandi.
Il meccanismo è molto semplice: si sfruttano i circuiti microfonici MEMS per trasmettere segnali ad ultrasuoni malevoli – onde sonore ad alta frequenza che sono impercettibili all’orecchio umano – usando un trasduttore piezoelettrico da pochi euro attaccato a una superficie del tavolo. Inoltre, gli attacchi possono essere eseguiti fino a 30 piedi (pari a poco più di 9 metri).
Per nascondere l’attacco alla vittima, viene emessa un’onda ultrasonica per ridurre il volume del dispositivo talmente al minimo da rendere impercettibili le risposte dell’assistente vocale, ma al contempo in grado di registrare le risposte vocali dall’assistente tramite un dispositivo di intercettazione, quest’ultimo nascosto più vicino al dispositivo della vittima sotto il tavolo.
L’intruso non solo può attivare gli assistenti vocali (ad esempio, utilizzando “OK Google” o “Hey Siri” come parole di riattivazione), ma anche generare comandi di attacco (ad esempio “leggi i miei messaggi” o “chiama Sam con vivavoce “) utilizzando sistemi di sintesi vocale (TTS), tutti trasmessi sotto forma di segnali a ultrasuoni guidati.
SurfingAttack, quali dispositivi sono vulnerabili?
SurfingAttack è stato testato con una varietà di dispositivi che utilizzano gli assistenti vocali, come Google Pixel, Apple iPhone, Samsung Galaxy e Xiaomi Mi, e ognuno di essi è risultato vulnerabile agli attacchi di onde ultrasoniche. È stato anche scoperto che funziona indipendentemente dalla superficie del tavolo (metallo, vetro, legno) e configurazioni telefoniche.
Gli esperimenti, tuttavia, hanno anche registrato alcuni casi di insuccesso su altri modelli.
Gli altoparlanti intelligenti di Amazon e Google – Amazon Echo e Google Home – non sono invece stati colpiti da questo attacco.
Attacchi vocali in aumento
Non è la prima volta che vengono scoperti attacchi di questo tipo che prendono di mira i microfoni MEMS. Noi Sicurezza ne aveva già parlato, concentrandosi sugli attacchi perpetrati attraverso un raggio laser.
Tuttavia, mentre in quell’attacco si richiedeva che il raggio laser fosse in linea diretta e visiva con il dispositivo di destinazione in questione, le esclusive capacità di propagazione di SurfingAttack eliminano questa necessità, permettendo così a un potenziale aggressore di interagire da remoto.
Queste ultime ricerche presentano una nuova modalità di attacco che richiederà ai produttori di dispositivi smart di erigere nuove barriere di sicurezza e salvaguardare i dispositivi dagli attacchi vocali che stanno diventando sempre più un punto di accesso per qualsiasi edificio intelligente.
Interessato a proteggere i tuoi dispositivi da attacchi informatici? Contatta Noi Sicurezza: