Pensaci due volte prima di ricaricare un iPhone su un tavolo in luoghi pubblici come aeroporti e caffetterie.

I ricercatori del Michigan State University College of Engineering hanno scoperto un nuovo modo per gli hacker di prendere di mira i dispositivi personali in modo economico e mettere Siri e Google Assistant di Apple al lavoro contro i proprietari di smartphone.

Qiben Yan, ricercatore presso il Dipartimento di Informatica e Ingegneria e autore principale della ricerca, ha detto che il team di ricerca ha scoperto un nuovo fattore di attacco:vibrazioni impercettibili che possono essere inviate attraverso il legno, ripiani in metallo e vetro per comandare dispositivi di assistente vocale fino a 30 piedi di distanza.

La ricerca, Surf Attack, è stato presentato il 24 febbraio al Network and Distributed System Security Symposium di San Diego.

Yan consiglia ai possessori di smartphone di diffidare delle stazioni di ricarica pubbliche. "Gli hacker potrebbero utilizzare onde ultrasoniche dannose per controllare segretamente gli assistenti vocali nei tuoi dispositivi intelligenti, " ha detto. "Può essere attivato usando frasi come, "OK Google" o "Ehi Siri, " come parole di sveglia. Poi, i comandi di attacco possono essere generati per controllare i tuoi assistenti vocali, come 'leggi i miei messaggi, " o effettuare una chiamata fraudolenta utilizzando la tecnologia di sintesi vocale.

"In altre parole, "Yan ha detto, "possono chiamare i tuoi amici, famiglia e colleghi e fare ogni genere di cose, dall'annullamento dei piani alla richiesta di denaro. Se sei esperto di tecnologia e possiedi gadget per la casa intelligente controllabili con la voce, gli hacker possono persino utilizzare i tuoi smartphone per controllare i tuoi gadget intelligenti, Per esempio, impostare la temperatura di casa o aprire la porta del garage."

Yan ha detto che gli hacker collegano un trasduttore piezoelettrico a basso costo sotto un tavolo o una stazione di ricarica, consentendo a un utente malintenzionato di dirottare in modo poco appariscente i codici di autenticazione a due fattori e persino di effettuare chiamate fraudolente

Hanqing Guo, uno studente laureato MSU presso il Dipartimento di Informatica e Ingegneria e coautore dello studio, ha dichiarato:"È piuttosto spaventoso vedere il mio telefono attivato e controllato in spazi pubblici a mia insaputa. La nostra ricerca mette in luce l'insicurezza degli assistenti vocali per smartphone, di cui tutti devono essere consapevoli".

SurfingAttack ha funzionato su 15 dei 17 modelli di telefono testati, inclusi quattro iPhone; il 5, 5 secondi, 6 e X; i primi tre Google Pixel; tre Xiaomi; mi 5, Mi 8 e Mi 8 Lite; il Samsung Galaxy S7 e S9 e l'Huawei Honor View 8.

"La nostra ricerca mette in luce l'insicurezza degli assistenti vocali per smartphone, "disse Guo.

Yan, che dirige il Secure Intelligent Things Lab di MSU, ha lavorato in collaborazione con ricercatori della MSU, Washington University di St. Louis, Accademia cinese delle scienze e Università del Nebraska-Lincoln.

"Il nostro miglior consiglio è se hai intenzione di posizionare il tuo telefono incustodito su un tavolo per ricaricarlo, assicurati che non sia piatto, " ha detto. "SurfingAttack può essere reso meno efficace semplicemente sollevando il telefono o utilizzando una tovaglia morbida. Appoggia il telefono su qualcosa per interrompere le onde guidate a ultrasuoni. La correzione è semplice e aggiunge un livello di sicurezza".