Un interessante ed estremamente allarmante test di laboratorio ha mostrato come gli assistenti digitali più comuni (Siri, Amazon Alexa, Google Assistant) e i relativi smart speaker (Google Home, Amazon Echo, Facebook Portal) siano suscettibili ad un sofisticato attacco denominato Light Command che comporta l’utilizzo di un laser per impartire comandi audio ai relativi speaker anche a centinaia di metri di distanza dall’oggetto interessato.

Utilizzando un laser è possibile sfruttare una falla dei microfoni che utilizzano sistemi microelettromeccanici (MEMS) al loro interno. Infatti, come si può vedere nelle immagini e nel video qui sotto, basta puntare un particolare laser nella porzione in cui è presente il microfono per impartire automaticamente dei comandi, il tutto senza creare rumore e senza utilizzare la voce.

Questo è possibile perché, incredibilmente, questi i microfoni MEMS rispondono alla luce come se in realtà fosse un suono. Il motivo fisico alla base del problema non è ancora noto, ma le ripercussioni sono teoricamente disastrose. Sfruttando i Light Command il laser può attivare luci, porte allarmate, garage, dispositivi smart o addirittura macchine, anche a centinaia di metri di distanza.

Come se non bastasse, un malintenzionato potrebbe anche utilizzare un laser infrarosso (invisibile all’occhio umano) per impartire comandi ai vari smart speaker presenti in casa. Ovviamente il tutto fa riferimento ad un test in laboratorio con strumenti non proprio a buon mercato. In aggiunta c’è da dire che il laser deve colpire precisamente la zona in cui è inserito il microfono e che, come sappiamo, gli smart speaker sono soliti dare feedback audio/visivi quando interpellati.

Malgrado ciò, l’hack che sfrutta i Light Commands e i microfoni MEMS dovrebbe far suonare campanelli di allarme a tutte le più grandi aziende hi-tech impegnate nello sviluppo di questi dispositivi. Allo stato attuale sono pochissime le azioni audio-comandate che necessitano l’immissione di un PIN, ma anche in questi casi si è scoperto essere facilmente aggirabili con un semplice bruteforce.

I paladini della privacy potrebbero utilizzare questa interessante scoperta per condannare ancora una volta l’utilizzo di smart speaker in casa o in ufficio; gli altri, invece, potrebbero sfruttare la falla per scoprire la base scientifica che si muove al di sotto di questa scoperta e risolvere il problema una volta per tutte.

Il nostro consiglio è quello di evitare il posizionamento dello (o degli) smart speaker vicino le finestre.