Un team di ricercatori accademici ha scoperto che un nuovo tipo di attacco, che hanno chiamato "VoltSchemer", può manipolare l'assistente vocale di uno smartphone attraverso il campo magnetico emesso da un caricabatterie wireless comune.
Questi attacchi possono anche causare danni fisici al dispositivo mobile e surriscaldare gli oggetti vicini al caricabatterie a una temperatura superiore a 280°C. Una situazione che può portare anche all’innesco di un incendio, nelle giuste condizioni.
La ricerca, condotta dall'Università della Florida e da CertiK, ha dimostrato che VoltSchemer sfrutta l'interferenza elettromagnetica per manipolare il comportamento del caricabatterie. Questo avviene attraverso la manipolazione della tensione fornita all'ingresso del caricabatterie e la creazione di fluttuazioni di tensione che generano un segnale di interferenza.
I ricercatori hanno testato nove caricabatterie wireless normalmente in commercio, evidenziando le vulnerabilità di questi prodotti. Gli attacchi possono causare surriscaldamento e danni al dispositivo, oltre a influenzare i comandi vocali.
I ricercatori hanno già comunicato le loro scoperte ai produttori dei caricabatterie testati e hanno discusso delle contromisure possibili per eliminare il rischio di attacchi VoltSchemer.
La possibilità di manipolare i comandi vocali degli assistenti vocali su iOS e Android tramite il caricabatterie wireless dimostra ancora una volta come ogni nuova tecnologia - in questo caso la ricarica wireless - possa immediatamente diventare una vulnerabilità ed esporci a pericoli più o meno gravi.
Nel caso specifico, non sembra che ci siano ragioni per pensare che domani qualcuno manderà arrosto il nostro smartphone, o che gli darà comandi indesiderati. Questa tecnica di attacco richiede una situazione ben precisa e una distanza molto breve dal bersaglio, quindi non sembra qualcosa che possa diventare un problema “di massa”.
Tuttavia è utile a sottolineare come la progettazione di ogni dispositivo debba prendere in considerazione la sicurezza informatica, e di come la cybersecurity dovrebbe essere necessariamente by design. Qualcosa che, purtroppo, ancora non succede tanto spesso quanto dovrebbe.