Alcuni studenti della Berkeley hanno dimostrato come sia possibile nascondere veri e propri comandi “malware” nella musica e sfruttare Siri, Google Assistant e Alexa per impartire determinati comandi.
Semplicemente il riprodurre un brano o una traccia audio via radio, via streaming o tramite podcast potrebbe consentire agli aggressori di assumere il controllo di una casa smart.
Negli ultimi due anni, ricercatori in Cina e negli Stati Uniti hanno iniziato a dimostrare di poter inviare comandi nascosti, non rilevabili dall’orecchio umano, a Siri, Alexa di Amazon e Google Assistant. All’interno dei laboratori universitari, i ricercatori sono stati in grado di attivare segretamente i sistemi di domotica tramite smartphone o speaker smart, facendo comporre numeri telefonici o aprire siti web. Nelle mani sbagliate, questa tecnologia potrebbe essere utilizzata per sbloccare porte, inviare denaro o acquistare oggetti online, semplicemente con della musica che suona in streaming.
In questi giorni, gli studenti della Berkeley sono riusciti ad effettuare queste stesse operazioni anche tramite testi parlati, quindi ad esempio tramite un normalissimo podcast:
Modificando leggermente i file audio, i ricercatori sono stati in grado di annullare il suono che il sistema di riconoscimento vocale doveva ascoltare e di sostituirlo con un suono che sarebbe stato percepito in modo diverso dai dispositivi, pur essendo quasi impercettibile all’orecchio umano.
Ad esempio, i ricercatori sono stati in grado di nascondere il comando “O.K. Google, vai su evil.com” in una semplice frase registrata in precedenza. Tali comandi sono stati nascosti anche nelle clip audio.
I ricercatori affermano che non esiste alcuna prova su reali utilizzi di questo metodo, ma le cose potrebbero cambiare con la larga diffusione di dispositivi smart nelle case degli utenti.
Apple ha assicurato che Siri integra delle protezioni che limitano le possibilità di eseguire questo tipo di attacco. Inoltre, HomePod è progettato per impedire ai comandi vocali di effettuare operazioni sensibili come sbloccare una porta. Per effettuare queste operazioni, bisogna infatti impartire il comando su un iPhone o iPad già sbloccato tramite password, Touch ID o Face ID.