Gli smartphone moderni sono pieni di applicazioni, gran parte delle quali sono state pensate appositamente per semplificarci la vita. Alcune di queste però, unite al fatto di essere connessi sempre e ovunque, possono lasciare le porte aperte a possibili malintenzionati. In questo momento ad essere nel mirino dei cyber criminali sembrano esserci gli assistenti virtuali, come Google Assistant e Siri, un attacco informatico che un gruppo di ricerca ha etichettato come “SurfingAttack“.
SurfingAttack: come funziona
Gli assistenti virtuali degli smartphone, nel loro normale funzionamento, aiutano l’utente a compiere alcune azioni con sul proprio device, ad esempio aprire delle app, effettuare delle telefonate, effettuare delle ricerche sul web e quant’altro. Se però a prenderne il controllo è un hacker il telefono può iniziare a compiere “da solo” alcune azioni che possono mettere a rischio la sicurezza e la privacy del proprietario dello smartphone. Ad esempio il telefono può iniziare a scattare foto e selfie, effettuare una telefonata consentendo a chi è dall’altra parte di ascoltare ad esempio una conversazione privata, o inviare email con informazioni anche sensibili.
L’attacco denominato “SurfingAttack”, scoperto da un team di ricercatori accademici, è in grado di controllare l’assistente digitale di un telefono in determinate condizioni che, diversamente da quello che si è abituati a pensare, non prevede l’invio di un software malevolo o di un link fraudolento, ma utilizza un particolare sistema di vibrazioni impercettibili, attivate all’interno di un raggio di azione di circa 10 metri e in grado di guidare gli assistenti digitali a proprio piacimento.
https://www.youtube.com/watch?v=zgr-oM2YJHs&feature=emb_logo
Quella che gli hacker sfruttano è la propagazione di onde guidate ad ultrasuoni attraverso materiali solidi, come un tavolo in alluminio, acciaio o vetro. Sfruttandone le proprietà di trasmissione acustica, gli hacker riescono ad attivare i comandi vocali di Google Assistant e Siri a distanza.
https://www.youtube.com/watch?v=pQw2zRAqVnI&feature=emb_logo
SurfingAttack: come proteggersi
Una soluzione per evitare che il proprio smartphone subisca questo tipo di attacco è acquistare un case di legno o poggiare sempre il telefono su un tessuto, invece che direttamente sul tavolo.
I ricercatori consigliano inoltre di disabilitare l’assistente vocale sul telefono nella schermata di blocco e di bloccare il dispositivo quando non è in uso.
Chi ha un telefono Android può anche disabilitare i risultati personali della schermata di blocco, seguendo il percorso: Assistente > Dispositivi di assistenza > Telefono e disattiva i risultati personali della schermata di blocco.
https://www.youtube.com/watch?v=4sCjplh-kE4&feature=emb_logo
SurfingAttack: i device coinvolti
I ricercatori sono stati in grado di simulare un “SurfingAttack” sui seguenti telefoni:
- Google Pixel con Android 10;
- Google Pixel 2 con Android 10;
- Google Pixel 3 con Android 10;
- Motorola Moto G5 su Android 7.0 Nougat;
- Motorola Moto Z4 su Android 9.0 Pie;
- Xiaomi Mi 5 su Android 8.0 Oreo;
- Xiaomi Mi 8 su Android 9.0 Pie;
- Xiaomi Mi 8 Lite su Android 9.0 Pie;
- HONOR View 10 su Android 9.0 Pie;
- iPhone 5 su iOS 10.0.03;
- iPhone 5s su iOS 12.1.2;
- iPhone 6 Plus su iOS 11.0;
- iPhone X su iOS 12.4.1.
