Alcuni ricercatori della sicurezza hanno scoperto un modo per dirottare di nascosto Siri e altri assistenti digitali per smartphone utilizzando onde ultrasoniche, suoni che normalmente non possono essere ascoltati dagli umani.
L’attacco, impercettibile all’orecchio umano, può essere utilizzato per leggere messaggi, effettuare telefonate fraudolente o scattare foto all’insaputa dell’utente.
L’exploit utilizza onde sonore ad alta frequenza e impercettibili per attivare e interagire con l’assistente digitale di un dispositivo. Mentre attacchi simili sono emersi in passato, SurfingAttack si concentra sulla trasmissione di queste onde attraverso materiali solidi, come i tavoli.
I ricercatori hanno scoperto che potevano utilizzare un trasduttore piezoelettrico da 5 dollari, attaccato alla parte inferiore di un tavolo, per inviare queste onde ultrasoniche e attivare un assistente vocale a insaputa dell’utente.
Utilizzando queste onde ultrasoniche impercettibili, il team è stato in grado di attivare gli assistenti vocali ed emettere comandi per effettuare telefonate, scattare foto o leggere un messaggio che conteneva un passcode di autenticazione a due fattori.
Per nascondere ulteriormente l’attacco, i ricercatori hanno prima inviato un comando impercettibile per abbassare il volume di un dispositivo, per poi registrare le risposte utilizzando un altro dispositivo nascosto sotto un tavolo.
SurfingAttack è stato testato su un totale di 17 dispositivi e si è rivelato efficace contro la maggior parte dei modelli. Alcuni dispositivi iPhone, Google Pixel e Samsung Galaxy sono vulnerabili all’attacco, sebbene la ricerca non abbia rilevato quali specifici modelli di iPhone siano stati testati.
Tutti gli assistenti digitali, inclusi Siri, Google Assistant e Bixby, sono vulnerabili.
Solo l’Huawei Mate 9 e il Samsung Galaxy Note 10+ erano immuni all’attacco, anche se i ricercatori attribuiscono questo dato alle diverse proprietà sonore dei loro materiali. Hanno anche notato che l’attacco è stato meno efficace se usato su tavoli coperti da una tovaglia.