Vulnerabilità in Siri e Google assistant
I ricercatori sono riusciti a prendere il controllo di un telefono attraverso gli assistenti,questo attacco è stato creato attraverso gli ultrasuoni (suoni non udibili dagli uomini) che costringe Siri e Google assistant a svelare i dati personali. Non è un scena di un film, ma un falla vera e propria che è stata scoperta da un università americana.
I ricercatori hanno dimostrato come gli assistenti vocali interpretino gli ultrasuoni come comandi , eseguendo una serie di comandi il telefono sarà accessibile al malintenzionato.
La strumentazione per effettuare l'attacco comprende generatori, microfoni e trasduttori.
la strumentazione usata non è quella che si trova abitualmente in ogni casa. I ricercatori hanno utilizzato, infatti, un particolare software in grado di produrre le giuste onde sonore, un generatore di ultrasuoni per generare appunto il segnale, un trasduttore piezoelettrico per “trasformare” un segnale elettrico in vibrazioni fisiche ed un microfono nascosto per catturare le risposte degli assistenti virtuali.
la strumentazione usata non è quella che si trova abitualmente in ogni casa. I ricercatori hanno utilizzato, infatti, un particolare software in grado di produrre le giuste onde sonore, un generatore di ultrasuoni per generare appunto il segnale, un trasduttore piezoelettrico per “trasformare” un segnale elettrico in vibrazioni fisiche ed un microfono nascosto per catturare le risposte degli assistenti virtuali.
Come possiamo vedere nel (silenzioso) video, i ricercatori riescono ad impostare il volume del telefono ad un livello molto basso, e poi a farsi leggere dall’assistente virtuale il codice di autenticazione a due fattori inviato all’utente tramite SMS. In questo modo possono prendere possesso dell’account del proprietario.
Il problema è che l'assistente virtuale legge il messaggio,per questo motivo la prima parte dell’attacco consiste nell’abbassare al livello minimo il volume del telefono.
L’attacco si basa sul fatto che l'utente, immerso nei rumori di tutti i giorni, non senta la voce dell'assistente. Voce che viene, invece, catturata benissimo dal microfono ad alta sensibilità dei ricercatori.
L’attacco si basa sul fatto che l'utente, immerso nei rumori di tutti i giorni, non senta la voce dell'assistente. Voce che viene, invece, catturata benissimo dal microfono ad alta sensibilità dei ricercatori.
I ricercatori universitari concludono la dimostrazione assicurando che questo tipo di attacco è molto difficile da replicare nella vita di tutti i giorni, sia per la strumentazione tecnica necessaria a produrre questi suoni sia perché non funziona a distanze superiori ai 9 metri, però in futuro potrebbe diventare una cosa molto semplice.
Resta il fatto che è la prima volta che un attacco bersaglia in questo modo gli assistenti vocali, e sia SIRI che GOOGLE Assistant si sono mostrati molto vulnerabili.
Grazie per la lettura e ci vediamo al prossimo articolo.
