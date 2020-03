Un groupe d’universitaires de plusieurs universités et spécialités américaines ont publié une nouvelle méthode d’attaque qui utilise Ondes ultrasoniques pour contrôler secrètement les assistants vocaux.

Baptisée “SurfingAttack”, l’attaque profite des propriétés uniques de la transmission acoustique dans les matériaux solides pour “permettre de multiples cycles d’interactions entre l’appareil à commande vocale et un attaquant, à une distance plus longue et sans avoir besoin d’être en vue. l’appareil ».

De cette façon, un attaquant pourrait interagir avec les appareils à l’aide d’assistants vocaux pour détourner les codes d’authentification de deux facteurs SMS et même effectuer des appels frauduleux, ont déclaré les enquêteurs dans le document, contrôlant ainsi l’appareil de la victime. sans qu’elle le sache.

Comment fonctionne SurfingAttack?

Les microphones MEMS, largement utilisés dans la plupart de ces assistants, contiennent une petite plaque intégrée appelée diaphragme qui, lorsqu’elle est frappée par des ondes sonores ou lumineuses, génère un signal électrique qui est ensuite décodé en commandes réelles.

La nouvelle attaque exploite la nature non linéaire des circuits de microphone MEMS pour transmettre des signaux ultrasoniques malveillants, des ondes sonores à haute fréquence qui sont inaudibles pour l’oreille humaine. Vous n’avez besoin que d’un transducteur piézoélectrique de 5 $ connecté à la surface d’une table. De plus, des attaques peuvent être exécutées à 9 mètres de distance.

Pour cacher l’attaque, les chercheurs ont émis une onde ultrasonore guidée pour régler le volume de l’appareil suffisamment bas pour que les réponses vocales ne soient pas remarquées, tandis que les réponses vocales de l’assistant pouvaient toujours être enregistrées via un appareil Tapotement caché plus près de l’appareil de la victime sous la table.

Une fois configuré, un intrus peut non seulement activer les assistants vocaux (par exemple, en utilisant “OK Google” ou “Hey Siri” comme mots d’activation), mais aussi générer des commandes d’attaque (par exemple, “lire mes messages” ou “appeler Sam avec le haut-parleur”) en utilisant des systèmes de synthèse vocale (TTS), qui sont tous transmis sous la forme de signaux d’onde guidés par ultrasons qui peuvent être propagés le long la table pour contrôler les appareils.

SurfAttack Il a été testé avec succès sur une variété d’appareils en utilisant des assistants vocaux, tels que Google Pixel, Apple iPhone, Samsung Galaxy S9 et Xiaomi Mi 8, et il a été découvert que chacun d’eux était vulnérable aux attaques d’ondes ultrasonores. Il a également été découvert que cela fonctionne malgré l’utilisation de différentes surfaces de table (métal, verre ou bois) et de configurations téléphoniques.

On ne sait pas si ces types d’attaques ont été exploités jusqu’à présent, bien que nous en connaissions d’autres précédents tels que BackDoor, LipRead et DolphinAttack.

Il n’affecte pas les domestiques numériques

Au cas où vous vous poseriez la question, les haut-parleurs intelligents de Amazon et Google, séries Echo et Home, n’ont pas été affectés par de telles attaques. Dans tous les cas, la dernière enquête présente un nouveau vecteur d’attaque qui obligerait les fabricants d’appareils à ériger de nouvelles défenses de sécurité et à protéger les appareils contre les attaques vocales qui deviennent de plus en plus un point d’entrée. Pour chaque maison intelligente.

Ces assistants numériques sont de plus en plus populaires dans les foyers, avec Amazon Echo comme fer de lance d’un segment qui a été impliqué dans plusieurs controverses sur la vie privée en raison de la quantité de données qu’il collecte et en particulier en raison de l’utilisation faite par la technologie. d’eux. Les plus critiques disent qu’avec votre achat, vous mettez un vrai cheval de Troie dans votre maison.