Chi l’avrebbe mai detto che il nostro fidato assistente digitale – in questo caso sia Google Assistant che Siri – possa aprire le porte del nostro smartphone a malintenzionati? Eppure è quello che succede se il proprio telefono viene preso di mira da un attacco informatico che un gruppo di ricerca ha etichettato come “SurfingAttack“.
SurfingAttack mira agli assistenti digitali di Android e iOS
La particolarità di questo sistema è che non si basa sull’apertura di un link specifico o l’installazione di un’app fraudolenta, ma bensì fa leva su un sistema di vibrazioni impercettibili in grado di guidare gli assistenti digitali a compiere azioni all’oscuro degli utenti.
Come viene dichiarato dal team di ricercatori, “Surfing Attack sfrutta la propagazione di onde guidate ad ultrasuoni attraverso materiali solidi per attaccare i sistemi di controllo vocale. Sfruttando le proprietà uniche della trasmissione acustica in materiali solidi, il nuovo attacco chiamato SurfingAttack consente più turni di interazioni tra il dispositivo a comando vocale e l’attaccante su una distanza più lunga e senza la necessità di essere in linea di vista. Completando il ciclo di interazione di un attacco sonoro impercettibile, SurfingAttack abilita nuovi scenari di attacco, come il dirottamento di un passcode SMS (Mobile Short Service Service) mobile, effettuare chiamate fantasma a insaputa dei proprietari, ecc.”
Considerando il fatto che questo tipo di interazione avviene senza destare l’attenzione da parte dell’utente, SurfingAttack si presenta così come uno dei sistemi più “sicuri” da utilizzare da parte di intenzionati che vogliono prendere possesso di alcune informazioni o aree del vostro smartphone.
Il team di ricerca è stato in grado di sfruttare questo particolare genere di hacking inviando vibrazioni attraverso tavoli in alluminio, acciaio e vetro.
Come proteggersi da SurfingAttack
Oltre a considerare l’acquisto di un case di legno, i ricercatori consigliano di seguire questi semplici passi per mitigare l’azione di SurfingAttack:
- avvia Google Assistant;
- tappa l’icona a forma di compasso nell’angolo in basso (Esplora) a destra dello schermo;
- tappa l’avatar nell’angolo in alto a destra e seleziona “Impostazioni”;
- da qui vai su Assistente > Dispositivi Assistente > Telefono e disabilità Risultati personali nella schermata di blocco.
Dispositivi su cui è stato testato SurfingAttack
Il team di ricerca è riuscito a sfruttare correttamente questo particolare sistema di hacking sui seguenti smartphone:
- Google Pixel con Android 10;
- Google Pixel 2 con Android 10;
- Google Pixel 3 con Android 10;
- Motorola Moto G5 su Android 7.0 Nougat;
- Motorola Moto Z4 su Android 9.0 Pie;
- Xiaomi Mi 5 su Android 8.0 Oreo;
- Xiaomi Mi 8 su Android 9.0 Pie;
- Xiaomi Mi 8 Lite su Android 9.0 Pie;
- HONOR View 10 su Android 9.0 Pie;
- iPhone 5 su iOS 10.0.03;
- iPhone 5s su iOS 12.1.2;
- iPhone 6 Plus su iOS 11.0;
- iPhone X su iOS 12.4.1.