Un gruppo di ricercatori accademici della Michigan State University, della Washington University di St. Louis, della Chinese Academy of Sciences e della University of Nebraska- Lincoln ha battezzato con il nome di SurfingAttack un nuovo potenziale attacco informatico che sfrutta una proprietà caratteristica della trasmissione acustica attraverso i materiali solidi per colpire i dispositivi a comando vocale, compromettendoli con comandi trasmessi attraverso onde a frequenza ultrasonica e pertanto impercettibili dall’orecchio umano.
I risultati presentati il 24 febbraio a San Diego presso il Network Distributed System Security Symposium (NDSS) mostrano come un utente malintenzionato sarebbe in grado di interagire con gli assistenti vocali integrati nei dispositivi mobile, prendendone il pieno controllo, ad esempio manipolando la webcam, dirottando i codici di autenticazione a due fattori SMS o addirittura effettuando chiamate fraudolente. Interessante la dimostrazione video pubblicata.
Indice degli argomenti
SurfingAttack: i dettagli tecnici
Il sistema è stato progettato in modo da poter inviare comandi, registrare le risposte vocali e interagire con i dispositivi target.
Come è possibile vedere in Figura 1, il sistema è costituito da due moduli:
- un dispositivo di attacco presente nell’ambiente fisico della vittima (Attack Device Package);
- un controller che supporta le principali funzionalità ed è collegato in remoto con il dispositivo di attacco.
Il controller produce i segnali dei comandi vocali e dei dialoghi, generati utilizzando moduli di sintesi vocale (TTS) e li trasmette al dispositivo di attacco per esempio tramite un canale wireless (WiFi).
Il dispositivo di attacco che contiene tre componenti principali (un modulo di elaborazione del segnale, un trasduttore ultrasonico e un dispositivo di intercettazione) ha il compito di raccogliere l’output del dispositivo vocale e di trasmettergli i comandi dannosi tramite ultrasuoni non udibili.
SurfingAttack: lo schema di progetto.
Per ciascun dispositivo testato sono state eseguite diverse prove mirate ad ottenere il buon esito dei seguenti processi:
- attivazione della registrazione vocale;
- attivazione diretta dell’assistente vocale;
- riconoscimento diretto.
Come si evince dalla Figura 2, dei 17 smartphone testati, solo due sono risultati indenni all’attacco ultrasonico: il Samsung Galaxy Note 10 e il Mate 9 Huawei.
I ricercatori hanno verificato che in questi casi le onde ultrasoniche sono state smorzate grazie al tipo di materiale di costruzione dei dispositivi.
SurfingAttack: i dispostivi testati dai ricercatori.
Conclusioni
Anche se non ci sono indicazioni che questa tecnica di attacco sia stata sfruttata sino ad ora in attacchi reali, di sicuro offre nuovi spunti per i criminal hacker.
Questa ricerca ha dimostrato come sia possibile estendere la portata di questa reale minaccia già nota, attraverso la possibilità di instaurare conversazioni tra l’avversario e il dispositivo vocalmente controllabile senza la necessità di una diretta linea di vista tra gli interlocutori.
Poiché gli attacchi vocali stanno diventando sempre più un punto debole da sfruttare, anche se ciò non richiederebbe ancora un’azione immediata, è ragionevole pensare che i produttori comincino a prevedere nuove soluzioni di difesa e sicurezza per salvaguardare i propri dispositivi, già a partire dalle nuove catene di produzione.
Allo scopo di smorzare queste tipologie di onde sonore eventualmente dirette verso i microfoni integrati sui dispositivi, una protezione con opportuni materiali assorbenti potrebbe essere una soluzione base.