Siri, Alexa, e Google Assistant, sono vulnerabili ad attacchi che è possibile portare a termine usando dei laser per iniettare comandi impercettibili e, in alcuni casi, invisibili. Questi comandi possono essere sfruttati in modo subdolo per sbloccare porte, visitare siti web, localizzare e avviare veicoli.
La scoperta è riportata in un documento di ricerca denominato “Dubbed Light Commands” e l’attacco funziona contro Facebook Portal e vari telefoni.
Direzionare un raggio laser a bassa potenza verso sistemi attivabili con la voce permette agli attacker di “iniettare” comandi a loro scelta fino a 110 m di distanza. Ars Technica spiega che, poiché i sistemi controllabili con la voce spesso non richiedono autenticazione, è facile portare a termine attacchi senza bisogno di password o PIN. Anche con i sistemi che richiedono meccanismi di autenticazione, è possibile chiedere ugualmente l’esecuzione di alcuni comandi, sfruttato attacchi di forza bruta per ottenere PIN giacché molti dispositivi non prevedono limiti nel numero di tentativi concessi per indovinare una password.
Da notare che i comandi via luce laser possono essere inviati da un diverso edificio e passare attraverso i vetri quando un dispositivo vulnerabile si trova nelle vicinanze di una finestra.
L’attacco sfrutta una vulnerabilità nei microfoni che usano sistemi microelettromeccanici (MEMS), tecnologia che permette di realizzare microfoni e altoparlanti sempre più piccoli, caratterizzati da bassi consumi e costi contenuti. I microscopici componenti MEMS usati per i microfoni di questi dispositivi, reagiscono involontariamente alla luce come se fosse un suono. I ricercatori hanno testato Siri, Alexa, Google Assistant, Facebook Portal, e un piccolo numero di tablet e telefoni, ma ritengono che tutti i dispositivi con tecnologia MEMS siano suscettibili a questo tipo di attacchi.
Tra i limiti dell’attacco: la necessità di avere il dispositivo target nella visuale diretta; la luce, in alcuni casi, deve essere precisamente indirizzata su specifici punti del microfono. Salvo nei casi in cui l’attacker usa un laser a infrarossi, la luce può inoltre essere facilmente vista da qualcuno che si trova nelle vicinanze o nella linea di visione del dispositivo. C’è da dire inoltre che tutti i dispositivi, replicano in qualche modo dopo l’esecuzione dei vari comandi, rendendo facile capire a chi è nella stanza se qualcuno sta armeggiando a distanza con qualsiasi assistente.
Per tutte le notizie sulla sicurezza informatica seguite questa sezione di macitynet.