I ricercatori della University of Electro-Communications e della University of Michigan hanno scoperto un nuovo hack basato sull’utilizzo di un laser che permette di attaccare tutti i dispositivi con microfono MEMS come iPhone, HomePod, Google Home e Amazon Echo.
Come spiegato da Ars Technica, il tipo di attacco si chiama “Light Commands” ed è stato scoperto in questi giorni. I Light Command consentono di hackerare a distanza Siri, Google Assistant, Alexa e altri assistenti vocali , purché l’attaccante abbia una linea di visuale verso i microfoni dei dispositivi.
Ecco come funziona:
Far brillare un laser a bassa potenza su questi sistemi ad attivazione vocale consente agli aggressori di inviare comandi a loro scelta, da una distanza che può raggiungere i 110 metri. Poiché i sistemi a comando vocale spesso non richiedono alcuna autenticazione, l’attacco può essere eseguito quasi sempre senza la necessità di password e PIN. Anche quando i sistemi richiedono l’autenticazione per determinate azioni, potrebbe essere possibile effettuare attacchi brute force sui dispositivi che non hanno alcuna limitazione protettiva. Tra le altre cose, i comandi di questo tipo possono essere inviati da un edificio all’altro e penetrare anche attraverso il vetro, quando ad esempio un dispositivo vulnerabile viene poggiato vicino a una finestra chiusa.
I ricercatori hanno effettuato test limitati con iPhone, tablet, altoparlanti e display smart, ma ritengono che “tutti i dispositivi che utilizzano microfoni MEMS sono sensibili agli attacchi Light Command“.
Questi comandi presentano alcune limitazioni, come ad esempio il fatto che il malintenzionato deve avere una linea di mira diretta sul dispositivo ed essere in grado di posizionare con precisione un laser dove si trova il microfono.
Tuttavia, i ricercatori hanno effettuato attacchi in condizioni moderatamente realistiche e la mancanza di autenticazione per molti assistenti vocali rende questo attacco potenzialmente molto pericoloso. Ad esempio, si potrebbe forzare un Amazon Echo e chiedere all’assistente di aprire la porta del garage, se questa può essere gestita tramite Alexa.
Tra l’altro, per effettuarlo basta avere come materiali un puntatore laser da 18$, un laser driver e un amplificatore audio, per un totale che non arriva a 400$.