Голосовые ассистенты Siri и Google взламываются ультразвуком

В статье, представленной 24 февраля на Симпозиуме по безопасности сетевых и распределённых систем в Сан-Диего (штат Калифорния), инженеры Университета Вашингтона в Сент-Луисе (штат Миссури) показали, как использовать ультразвуковые волны для скрытного управления телефоном, лежащим на твёрдой поверхности.

В описанных ими экспериментах, к столешнице снизу крепились микрофон, пьезоэлектрический преобразователь ультразвука и генератор сигналов. С помощью всего этого оборудования авторы реализовали два сценария атаки.

Сначала они ультразвуковым сигналом активировали голосовой ассистент и скомандовали ему уменьшить громкость до Уровня 3, при котором владелец смартфона не мог слышать его ответы в офисе с умеренным уровнем шума.

Затем, была имитирована процедура двухфакторной аутентификации, при которой идентификационный код отсылается пользователю в сообщении СМС. Атакующий отдал команду голосовому ассистенту «прочти мои сообщения», и с помощью микрофона под столом прослушал ответ.

Во втором эксперименте, скомандовав «позвони Сэму со спикерфоном», хакер беседовал с «Сэмом» неслышимо для владельца телефона.

Оба этих сценария сработали на 15 из 17 участвовавших в экспериментах телефонов, включая популярные модели iPhone, Galaxy и Moto. Волны проходили сквозь стекло, металл, дерево, несколько хуже — через пластик. Атаки достигали успеха независимо от положения телефона и микрофона на столе и действовали на расстояниях до 10 метров.

Авторы статьи, среди которых были исследователи из Мичиганского университета, Университета Небраска-Линкольн и Китайской Академии Наук, предложили несколько довольно сложных способов защиты от ультразвуковых атак, например, с помощью спектрального анализа поступающих сигналов. Однако проще всего обезопасить свой телефон можно, положив его на мягкую скатерть или салфетку.