È possibile attivare i comandi vocali degli assistenti virtuali, come Google Assistant e Siri, senza utilizzare la voce umana? Sì, si chiama SurfingAttack e utilizza gli ultrasuoni. È questa la conclusione di un gruppo di ricerca della Washington University di St. Louis che ha mostrato come la propagazione delle onde ultrasoniche tramite superfici come il tavolo possa attivare i sistemi di riconoscimento vocale e impartire a questi ultimi alcuni comandi.
Uno scenario che apre a una vulnerabilità profonda sfruttabile dai malintenzionati per accedere al contenuto dello smartphone all’insaputa dei proprietari. “Gli ultrasuoni – si legge – non emettono alcun suono, ma possono comunque attivare Siri e fargli effettuare chiamate, scattare foto o leggere il contenuto di un messaggio ricevuto”. Le onde ultrasoniche non sono percettibili dall’orecchio umano, ma lo sono per il microfono di un cellulare. “Se sai come giocare con i segnali, puoi manipolarli in modo tale che quando il telefono riceve onde sonore penserà che stai impartendo un comando” spiega Ning Zhang, assistente professore di informatica e ingegneria presso la McKelvey School of Engineering.
Per condurre l’esperimento, i ricercatori hanno posizionato sotto un tavolo un microfono e un trasduttore piezoelettrico (PZT), che converte l’elettricità in onde ultrasoniche, e un generatore di forme d'onda per inviare i segnali giusti. Gestendo il tutto tramite un software installato su un PC, è bastato inviare dei comandi codificati allo smartphone poggiato sul tavolo per ottenere dall’assistente virtuale l’azione desiderata.
È stato immediatamente chiesto all’assistente di abbassare il volume. In questo modo, l’utente non può sentire le risposte in un ambiente con un livello moderato di rumore. Successivamente, è stato impartito l’ordine di leggere il messaggio ricevuto che conteneva il codice per l’autenticazione a due fattori per un servizio bancario. La risposta è stata ascoltata dal microfono sotto il tavolo, ma non dalla vittima.
Certo, affinché l’attacco vada a buon fine, l’utente non deve neanche accorgersi che il display del proprio dispositivo si è illuminato. Il team ha testato 17 diversi modelli di smartphone di vari marchi (Google, Motorola, Samsung, Xiaomi, Huawei e Apple). Tutti tranne Huawei Mate 9 e Galaxy Note 10+ si sono rivelati vulnerabili agli attacchi. Secondo i ricercatori, il motivo potrebbe essere il design curvo adottato dai dispositivi e i materiali impiegati che intaccano i segnali.
Il test ha funzionato anche su superfici di materiale diverso - come metallo, vetro e legno – e mettendo i dispositivi in posizioni differenti. In ogni caso, l’attacco è andato a buon fine con qualche difficoltà in più solamente utilizzando la plastica. Come proteggersi, dunque, da questi potenziali attacchi?
La risposta dei ricercatori si dirige verso il software. L’idea sarebbe quella di sviluppare un software in grado di differenziare le onde ultrasoniche dalle voci umani. Oppure, si potrebbe intervenire sulla progettazione e sul design ipotizzando – per esempio – un diverso posizionamento del microfono per smorzare le onde a ultrasuoni. Nel frattempo, l’utente potrebbe utilizzare un tessuto morbido – come la tovaglia – su cui poggiare il proprio smartphone.
Galaxy Note 10+ è disponibile all'acquisto su Amazon con uno sconto di 250 euro rispetto al prezzo di listino. Lo trovate a questo link.