Negli ultimi anni, l’uso di sistemi di sicurezza sempre più sofisticati come il Face-ID sembravano aver scongiurato la possibilità che un pirata qualunque potesse mettere le mani sui nostri smartphone. Ma se la sicurezza è in continua evoluzione, gli hacker non sono da meno. E così non c’è giorno che non venga fuori un nuovo tipo di attacco in grado di minare le nostre certezze. L’ultimo in ordine di tempo è il Surfing Attack.
Si tratta di una tecnica di hacking che si basa sull’utilizzo di onde a ultrasuoni per attivare silenziosamente l’assistente vocale di uno smartphone. Il Surfing Attack può essere utilizzato per eseguire diverse azioni, come effettuare chiamate o leggere i messaggi di testo di un telefono, semplicemente appoggiato su un tavolo di legno, senza che il possessore se ne accorga. Di Surfing Attack si è parlato al Network and Distributed Systems Security Symposium di San Diego in California, a fine febbraio.
In quell’occasione NingZhang, docente di informatica presso la McKelvey School of Engineering e ricercatori di un gruppo di università internazionali, come la Washington University di Saint Louis e la Chinese Academy of Sciences, hanno mostrato come gli ultrasuoni possono propagarsi attraverso molte superfici solide e attivare i sistemi di riconoscimento vocale come Siri e Google Assistant e, con l’aggiunta di hardware non costoso e facilmente reperibile, chi lancia l’attacco può anche rispondere al telefono, senza che il possessore se ne accorga. Durante la dimostrazione, i ricercatori hanno anche spiegato come fosse facile inviare comandi vocali ai telefoni cellulari semplicemente stando seduti a poca distanza dal suo possessore proprietario.
Le onde ultrasoniche sono onde sonore con una frequenza superiore a quella che noi umani possiamo udire. I microfoni per cellulare invece possono farlo. «Ecco perché sapendo come usare gli ultrasuoni -ha spiegato Zhang – chi attacca può far sì che il telefono interpreti le onde sonore come un comando vocale». Per testare la capacità delle onde ultrasoniche di trasmettere questi “comandi” attraverso superfici solide, il team di ricerca ha organizzato una serie di esperimenti che prevedevano l’utilizzo di uno smartphone poggiato su un tavolo.
Lo scenario di attacco vedeva un hacker con un laptop situato in una stanza separata dal telefono della vittima, collegato tramite Wi-Fi o Bluetooth a un generatore di forme d’onda, in prossimità del telefono del target. Sotto il ripiano del tavolo sono stati poi collocati un microfono e un trasduttore piezoelettrico (PZT), che di solito viene utilizzato per convertire l’elettricità in onde ultrasoniche. L’attaccante ha lanciato dei comandi vocali creati dal laptop e li ha emessi tramite il generatore di forme d’onda, che a sua volta li ha trasmessi al trasduttore e al microfono.
Por attivare lo smartphone della vittima, l’attaccante ha imitato la sua voce. Secondo gli esperti il modo migliore per farlo è utilizzare la tecnologia di apprendimento automatico, come Lyrebird (vedi box nella prossima pagina).
Il team ha eseguito due test, uno per recuperare un passcode via SMS e un altro per effettuare una chiamata fraudolenta. La prima prova si basava sul dare all’assistente virtuale il comando “leggi i miei messaggi” e sull’uso dell’autenticazione a due fattori, in cui un codice di accesso viene inviato al telefono di un utente, per esempio da una banca o da un social network, per verificare l’identità dell’utente.
L’hacker “attaccante” ha prima ordinato all’assistente virtuale di abbassare il volume al livello 3. A questo volume, la vittima non ha notato le risposte del proprio telefono, in un ufficio con un livello di rumore moderato. Quindi, quando è arrivato un messaggio simulato da una banca, il dispositivo di attacco ha inviato il comando “leggi i miei messaggi” al telefono. La risposta era udibile al microfono posizionato sotto il tavolo, ma non alla vittima. Nel secondo test, il dispositivo di attacco ha inviato il messaggio ’’chiama Sam col vivavoce”, iniziando una chiamata. Usando il microfono sotto il tavolo, l’attaccante è stato in grado di continuare la conversazione con “Sam” senza che la vittima se ne accorgesse.
L’esperimento ha destato molte preoccupazioni nell’industria telefonica. Perché ha dimostrato come sia facile accedere a uno smartphone quando questo è semplicemente poggiato su una scrivania. Ai produttori di telefoni preoccupati, i ricercatori hanno consigliato di sviluppare un software del telefono in grado di analizzare il segnale ricevuto per discriminare tra onde a ultrasuoni e voci (umane) autentiche. Ma potrebbe bastare anche la modifica del layout dei telefoni cellulari e posizionare il microfono in un posto diverso, per smorzare o sopprimere le onde a ultrasuoni. Da parte degli utenti, invece basta seguire alcune accortezze.
Perché l’attacco vada a buon fine, è necessario che gli assistenti vocali abbiano il permesso di controllare i dispositivi. Per questo i ricercatori suggeriscono di disabilitare i comandi vocali o consentire agli assistenti di poter ricevere comandi solo quando il telefono è sbloccato. Ma secondo Zhang esiste anche un modo più semplice per tenere un telefono lontano dalle onde ultrasoniche: utilizzare un tessuto morbido per aumentare la “discrepanza di impedenza”: «In altre parole – ha spiegato – poggiate sempre il telefono su una tovaglia».