Iot, sapevamo già che era poco sicuro. Ora lo è ancora di più.
Un gruppo di ricercatori cinesi, appartenenti alla Zhejiang University, ha scoperto infatti che gli assistenti virtuali disponibili sul mercato degli smart device sono affetti da una falla nei sistemi di sicurezza che consente a chiunque di inviare ai dispositivi comandi da remoto, purché tradotti in ultrasuono.
“Mostriamo che è possibile sfruttare il microfono per impartire ultrasuoni non udibili, con l’intento di far azionare il microfono come se stesse udendo normali comandi vocali, controllando così l’apparecchio della vittima a sua insaputa” spiegano in una nota gli autori della ricerca.
Nel dettaglio, l’attacco reso possibile dal bug è stato denominato dagli esperti DolphinAttack, e si basa sulla traduzione di specifici comandi vocali in ultrasuoni, poi trasmessi ai dispositivi target mediante un amplificatore.
Nel corso degli esperimenti dimostrativi, i ricercatori hanno manomesso il funzionamento di alcuni dei più noti assistenti vocali, tra cui Siri e Cortana, divertendosi a chiedere a un MacBook di aprire un sito Internet dannoso e al navigatore di un automobile di cambiare in corsa la meta finale del viaggio.
D’altra parte, pur nella sua semplicità, DolphinAttack è molto difficile da annientare. Infatti, per scongiurare un attacco, l’utente dovrebbe disattivare la funzione dell’ascolto continuo. In questo modo, tuttavia, non potrebbe sfruttare appieno l’efficienza delle applicazioni interconnesse.