smart speaker

Assistenti vocali controllati con onde ultrasoniche: la ricerca

Un team di ricercatori della Washington University di St. Louis ha scoperto che possibile prendere il possesso di uno smartphone e gestire un assistente vocale utilizzando gli ultrasuoni
Assistenti vocali controllati con onde ultrasoniche: la ricerca FASTWEB S.p.A.

Già oggi, non domani, qualcuno potrebbe prendere il possesso del nostro assistente vocale digitale senza che noi ce ne possiamo accorgere. È quanto hanno scoperto, e testato con successo su 15 smartphone sui 17 in prova, i ricercatori della Washington University di St. Louis, in Missouri: è possibile controllare gli assistenti vocali usando gli ultrasuoni e dei dispositivi hardware dal costo molto basso. E la cosa funziona fino alla distanza di 30 piedi, cioè 9 metri. Come è possibile? Semplice: l'orecchio umano non riesce a sentire gli ultrasuoni, ma quello elettronico sì.

Che cosa sono gli ultrasuoni

L'orecchio umano è in grado di sentire i suoni con una frequenza compresa tra i 20 Hz e i 20 kHz e tutti i suoni sopra questa seconda frequenza vengono definiti ultrasuoni. Generare ultrasuoni è molto facile per l'uomo, visto che le apparecchiature per farlo esistono già da decenni, ma sentirli è impossibile. Il problema, però, è che i microfoni integrati negli smartphone moderni sono perfettamente in grado di captare queste frequenze, anche se noi non possiamo sentirle. Da ciò ne deriva che un estraneo potrebbe comunicare con il nostro smartphone a nostra insaputa, inviandogli degli ultrasuoni. E, proprio tramite gli ultrasuoni, è possibile lanciare comandi agli assistenti vocali che, ovviamente, rispondono.

Il test degli assistenti

pericolo ultrasuoni assistenti

Per testare la capacità delle onde ultrasoniche di trasmettere comandi agli assistenti vocali attraverso superfici solide, il team di ricerca ha organizzato una serie di esperimenti abbastanza articolata. Hanno messo un telefono sul tavolo e, poco distante sotto allo stesso tavolo, un microfono e un trasduttore piezoelettrico. Quest'ultimo è uno strumento abbastanza semplice da realizzare, formato da una membrana che vibra generando onde ultrasoniche. Il microfono, invece, serviva per ascoltare le risposte dell'assistente vocale. Il team ha eseguito due test, uno per farsi leggere dall'assistente un SMS contenente il codice per un'autenticazione a due fattori e l'altro per fargli effettuare una chiamata fraudolenta.

Il primo test si basava sul comando "leggi i miei messaggi", inviato tramite ultrasuoni all'assistente dopo che era stato inviato allo smartphone un messaggio contenente il codice per entrare in un conto corrente online. Per simulare un vero attacco, però, i ricercatori hanno prima ordinato all'assistente (sempre tramite i silenziosissimi ultrasuoni) di abbassare il volume dell'altoparlante del telefono fino ad un livello percettibile dal microfono poggiato sul tavolo, ma non dal proprietario del telefono. Quindi, quando è arrivato un messaggio simulato da una banca, il dispositivo di attacco ha inviato il comando "leggi i miei messaggi" al telefono. La risposta era udibile al microfono sotto il tavolo, ma non alla vittima. Risultato: l'attaccante è entrato nel conto della vittima.

smart spekaer

Nel secondo test, il dispositivo di attacco ha inviato il messaggio "chiama Sam con vivavoce", iniziando una chiamata. Usando il microfono sotto il tavolo, l'attaccante è stato in grado di continuare una conversazione con Sam senza che il proprietario del dispositivo riuscisse a sentire nulla.

Il team ha testato 17 diversi modelli di telefoni, tra cui iPhone, Samsung Galaxy e Motorola. Tutti gli smartphone (tranne due) sono risultati vulnerabili agli attacchi tramite onde ultrasoniche. I ricercatori hanno anche fatto diversi altri esperimenti, scoprendo che gli attacchi andavano in porto anche se le onde ultrasoniche dovevano attraversare metallo, vetro e legno: "L'abbiamo fatto col metallo. L'abbiamo fatto col vetro. Lo abbiamo fatto col legno - spiega Ning Zhang, uno degli autori dello studio - Ha funzionato sempre".

La distanza massima alla quale l'esperimento è riuscito è stata di 30 piedi, cioè 9 metri. È stato più difficile, invece, comandare con gli ultrasuoni l'assistente di uno smartphone poggiato su un tavolo di plastica mentre le custodie telefoniche hanno solo leggermente influenzato le percentuali di successo degli attacchi. Posizionare l'acqua sul tavolo, per assorbire le onde, non ha avuto alcun effetto. Infine, i ricercatori hanno appurato che con un solo attacco si possono colpire più telefoni contemporaneamente.

Cosa rischiamo

Zhang ha affermato che l'esperimento è stato fatto per mostrare i rischi di un cyber attacco sferrato con metodi fisici e non digitali. Sempre più spesso, infatti, sentiamo parlare dell'esigenza di proteggere i nostri dispositivi da virus e hacker che possono prendere il controllo di smartphone, tablet e computer anche da migliaia di chilometri di distanza. Ma poco, o nulla, viene detto in merito ai pericoli per gli stessi dispositivi derivanti da metodi di attacco analogici. "Sento che non viene prestata sufficiente attenzione alla fisica dei nostri sistemi informatici - ha affermato Zhang - Questa ricerca sarà una delle chiavi per comprendere gli attacchi che si propagano tra questi due mondi".

assistente vocale casa

Per fortuna i ricercatori, oltre che sui rischi derivanti dal controllo degli assistenti digitali tramite ultrasuoni, si sono focalizzati anche sulle possibili mitigazioni. Un'idea sarebbe di programmare il software del telefono per analizzare il suono captato dal microfono e discriminare tra onde ultrasoniche e voci umane autentiche. Una modifica del layout dei telefoni cellulari, in particolare del posizionamento del microfono, potrebbe smorzare o sopprimere le onde ad ultrasuoni e impedire un attacco. Poi c'è anche un modo molto semplice per ostacolare chi prova a comandare il nostro smartphone con gli ultrasuoni: mettere il telefono su una tovaglia. Un tessuto intrecciato soffice, infatti, aumenta il "disadattamento di impedenza". Cioè, in parole molto semplici, sporca i comandi a ultrasuoni inviati dal malintenzionato.

copyright CULTUR-E
Condividi
Ebook
Sicurezza in Rete: cosa c' da sapere
Scarica subito l'eBook gratuito e scopri cosa bisogna assolutamente sapere per proteggere i propri dispositivi e i propri dati quando si utilizza la Rete
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail