Gli hacker hanno trovato un modo per rubare informazioni dagli smartphone sfruttando ultrasuoni che attivano gli assistenti vocali: il SurfingAttack.
Gli assistenti vocali degli smartphone sono diventati uno strumento molto utile, specialmente per chi lavora con il proprio dispositivo mobile. Con essi è possibile segnarsi promemoria, salvare delle note, impostare sveglie e persino mandare messaggi: purtroppo però, la possibilità di attivarli a proprio piacimento con un comando vocale non è solo una possibilità, ma anche un rischio Alcuni ricercatori hanno scoperto un nuovo tipo di cyberattacco: si chiama SurfingAttack e utlizza proprio l’assistente vocale per accedere chiamate e messaggi.
Se le prime magari possono essere innocue sotto alcuni aspetti, purtroppo i messaggi contengono spesso quella One-Time Password d’accesso, che siti di banche, carte di credito e servizi di pagamento richiedono. I ricercatori, provenienti dall’Università Statale del Michigan, dall’Accademia delle Scienze Cinese, dall’Università del Nebraska-Lincoln e dall’Università di Washington in St. Louis, Missouri, hanno testato alcuni dispotivi mobile con dei trasduttori ultrasonici nascosti sotto dei tavoli.
Emanando comandi vocali impercettibili all’orecchio umano, sono riusciti ad attivare gli assistenti vocali, dando quindi dei comandi agli smartphone. Il nome nasce proprio dal concetto che utilizza per funzionare: delle onde ultrasoniche, passando per materiali che possono condurre vibrazioni, vanno a inserire dei comandi agli smartphone con assistente vocale.
Come funziona il SurfingAttack?
Per poter funzionare, questo tipo di cyberattacco deve essere fatto ad un dispositivo posizionato su un tavolo: va bene una qualunque superficie capace di condurre vibrazioni, come una scrivania da ufficio o un tavolo di un bar (vanno bene superfici di legno, metallo o vetro).
Un software invia dei comandi ad un dispositivo capace di trasformare il segnale elettrico con un generatore di ultrasuoni.
Successivamente, un trasduttore piezoelettrico (capace di convertire segnali elettrici in vibrazioni) fa propagare tale suono sul tavolo, rendendolo impercettibile all’orecchio umano ma valido per l’assistente vocale.
La seconda parte dell’attacco si basa su un microfono, posizionato anch’esso sotto al tavolo, che invece capta la risposta dello smartphone e la rimanda indietro all’hacker.
I test hanno mostrato una distanza massima per l’attacco di 9 metri, mentre per quanto riguarda eventuali disturbi sembra che già una sottile tovaglia potrebbe bloccare il cyberattacco. Yan, assistente professore presso il Department of Computer Science and Engineering all’Università Statale del Michigan, ha detto:
Teoricamente, le onde ultrasoniche guidate possono essere trasmesse attraverso qualunque materiale: per esempio, uno scenario plausibile potrebbe vedere uno smartphone subire un attacco poggiato sul pavimento, o peggio posato su un sedile di un’automobile.
L’assistente vocale permette di accedere a chiamate e messaggi, mentre un microfono capta la risposta.
Ovviamente nel caso ci trovassimo in un ambiente senza disturbi, tutto ciò sarebbe molto pericoloso: fortunatamente ci sono tante variabili poco calcolabili che rendono alcuni di questi attacchi nulli, ma il pericolo rimane comunque.
In realtà il problema che crea questa falla si basa sulle frequenze audio: la voce umana può andare da un minimo di 20 hertz ad un massimo di 20.000 hertz. Purtroppo gli smartphone possono captare anche frequenze superiori o inferiori: il SurfingAttack, infatti, utilizza frequenze che vanno dai 20.000 hertz ai 40.000 hertz.
Perché questo attacco potrebbe funzionare
I dispositivi di registrazione audio, che servono per catturare la voce e utilizzarla per comandi vocali, includono spesso un sensore micro-elettromeccanico (MEMS) per convertire vibrazioni meccaniche in segnali digitali, degli amplificatori, un filtro passa-basso (LPF) e un convertitore da suono analogico a digitale.
Un segnale audio superiore ai 20.000 hertz (e quindi non udibile dall’essere umano) può essere “iniettato” come comando in quanto il sistema sopra descritto non è lineare.
Quali sono i pericoli del SurfingAttack
Prima di tutto, il SurfingAttack diventa innocuo se l’Assistente Vocale non ha accesso ai dati sensibili. Siri, Google Assistant e tanti altri non permettono infatti di fare alcune azioni senza sblocco, eliminando i pericoli più gravi.
Purtroppo però alcuni attacchi possono andare a toccare funzioni in apparenza innocue, ma che in combinazione con altri cyberattacchi diventano molto pericolosi.
Il primo e più importante attacco è l’accesso agli SMS: in questo modo, l’hacker può farsi dire dall’assistente vocale la password di conferma di qualsiasi tipologia di account.
Banche, social, database di foto e documenti: nulla è al sicuro, visto che in questo modo si riesce a rubare la password che serve proprio a proteggere eventuali informazioni importanti.
Un altro modo riguarda sempre i messaggi, ma stavolta cade nel creativo: utilizzando il dettatore automatico, l’hacker può mandare un messaggio a un parente, genitore o compagno, chiedendo magari qualche password, codice o pin dimenticato.
L’altro processo utilizza invece le chiamate: avviando infatti una conference call, l’hacker può mettere in contatto se stesso – magari con una voce sintetica – e un conoscente della vittima, chiedendo così informazioni confidenziali.
Come prevenire un SurfingAttack
I ricercatori hanno effettuato vari test: 17 modelli diversi di smartphone sono stati il campione utilizzato, e solo due di questi hanno superato la prova.
La lista di telefoni che è invece è stata violata è la seguente:
- Google Pixel 1
- Google Pixel 2
- Google Pixel 3
- Motorola G5
- Motorola Z4
- Samsung Galaxy S7
- Samsung Galaxy S9
- Xiaomi Mi 5
- Xiaomi Mi 8
- Xiaomi Mi 8 Lite
- Huawei Honr View 10
- iPhone 5
- iPhone 5s
- iPhone 6+
- iPhone X
Soltanto il Huawei Mate 9 e il Samsung Galaxy Note 10 Plus non hanno risposto al comando ultrasonico.
Le raccomandazioni che Yan consiglia sono di mantenere il telefono in tasca se in pubblico, oppure applicare una cover per smartphone spessa, magari di gomma, così da evitare che le onde si propaghino fino al vostro telefono.
Nel caso inoltre non fosse necessario per voi l’Assistente Vocale, potrete disattivarlo per risolvere il problema alla radice. Se invece vi fa comodo questa feature, basterà renderlo inattivo quando lo schermo è bloccato: in questo modo le uniche volte che potrete sfruttare i comandi vocali sarà quando il telefono è sbloccato e in vostre mani.
Ovviamente ci sono anche dei limiti in questo attacco: da un lato serve obbligatoriamente che l’hacker abbia accesso fisico alla zona dove si trova il malcapitato, così da posizionare il generatore di ultrasuoni. L’altro limite invece è dovuto all’utilizzo del dispositivo: se infatti l’utente sta usando il dispositivo, l’attacco sarebbe impossibile da attuare.
- SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves (surfingattack.github.io)
- Hackers Can Attack iPhone, Pixel & Galaxy Phones Using $5 Transducer (fossbytes.com)
- The Sinister, Silent Way Hackers Can Talk to Siri and Steal Your Data (popularmechanics.com)