La recherche trouve une nouvelle façon de pirater Siri et Google Assistant avec des ondes ultrasonores

Réfléchissez bien avant de recharger un iPhone sur une table dans des lieux publics comme les aéroports et les cafés.

Des chercheurs du Michigan State University College of Engineering ont découvert une nouvelle façon pour les pirates de cibler à peu de frais les appareils personnels et de mettre Siri et Google Assistant d'Apple contre les propriétaires de smartphones.

Qiben Yan, professeur adjoint au Département d'informatique et d'ingénierie et auteur principal de la recherche, a déclaré que l'équipe de recherche avait découvert un nouveau facteur d'attaque: des vibrations inaudibles qui peuvent être envoyées à travers le bois, le métal et le verre pour commander des appareils d'assistant vocal jusqu'à 30 pieds plus loin.

La recherche, SurfingAttack, a été présentée le 24 février au Network and Distributed System Security Symposium à San Diego.

Yan conseille aux propriétaires de smartphones de se méfier des bornes de recharge publiques. "Les pirates pourraient utiliser des ondes ultrasonores malveillantes pour contrôler secrètement les assistants vocaux dans vos appareils intelligents", a-t-il déclaré. "Il peut être activé en utilisant des phrases comme" OK Google "ou" Hey Siri ", comme mots de réveil. Ensuite, des commandes d'attaque peuvent être générées pour contrôler vos assistants vocaux, comme «lire mes messages», ou effectuer un appel frauduleux à l'aide de la technologie de synthèse vocale.

"En d'autres termes", a déclaré Yan, "ils peuvent appeler vos amis, votre famille et vos collègues et faire toutes sortes de choses, de l'annulation des plans à la demande d'argent. Si vous êtes technophile et possédez des gadgets pour la maison intelligente contrôlables par la voix, les pirates peuvent utilisez même vos smartphones pour contrôler vos gadgets intelligents, par exemple, régler la température de la maison ou ouvrir la porte du garage. "

Yan a déclaré que les pirates attachent un transducteur piézoélectrique à faible coût sous une table ou une station de charge, permettant à un attaquant de détourner discrètement des codes d'authentification à deux facteurs et même de passer des appels frauduleux

Hanqing Guo, un étudiant diplômé MSU au département d'informatique et d'ingénierie et co-auteur de l'étude, a déclaré: "C'est assez effrayant de voir mon téléphone activé et contrôlé dans les espaces publics à mon insu. Notre recherche révèle l'insécurité du smartphone assistants vocaux, dont tout le monde doit être conscient. "

SurfingAttack a travaillé sur 15 des 17 modèles de téléphones testés, dont quatre iPhones; les 5, 5s, 6 et X; les trois premiers pixels de Google; trois Xiaomis; Mi 5, Mi 8 et Mi 8 Lite; le Samsung Galaxy S7 et S9 et le Huawei Honor View 8.

"Nos recherches mettent en évidence l'insécurité des assistants vocaux pour smartphones", a déclaré Guo.

Yan, qui dirige le Secure Intelligent Things Lab de MSU, a travaillé en collaboration avec des chercheurs de MSU, de l'Université de Washington à Saint-Louis, de l'Académie chinoise des sciences et de l'Université du Nebraska-Lincoln.

"Notre meilleur conseil est de placer votre téléphone sans surveillance sur une table pour le recharger, assurez-vous qu'il n'est pas plat", a-t-il déclaré. "SurfingAttack peut être rendu moins efficace en soulevant simplement votre téléphone ou en utilisant une nappe tissée douce. Appuyez votre téléphone sur quelque chose pour perturber les ondes guidées par ultrasons. La solution est simple et ajoute une couche de sécurité."