Alexa, Siri e Cortana rispondono agli ultrasuoni

Ricercatori cinesi hanno scoperto una grave vulnerabilità negli attuali assistenti personali. Alexa, Siri, Cortana, Google Assistant, Samsung S Voice e Huawei HiVoice possono essere attivati mediante comandi ad ultrasuoni, quindi non udibili dagli utenti. Ciò potrebbe consentire l’esecuzione di operazioni pericolose per la sicurezza. Fortunatamente, il tipo di attacco ha diverse limitazioni.

Usando una tecnica, nota come DolphinAttack, un team della Zheijiang University ha tradotto i tradizionali comandi vocali in suoni ad alta frequenza (superiore ai 20 kHz) che l’orecchio umano non può intercettare. I microfoni integrati negli smartphone sono invece più sensibili (alcuni funzionano fino a 42 kHz) e quindi rilevano gli ultrasuoni corrispondenti ai comandi. I ricercatori sono riusciti ad effettuare una chiamata con Siri, aprire un sito web con Google Assistant e accedere al sistema di navigazione di una Audi Q3.

Per ingannare gli assistenti digitali sono sufficienti pochi componenti (un amplificatore, un trasduttore ultrasonico e una batteria) per una spesa totale di circa 3 dollari. La tecnica potrebbe essere sfruttare per compiere varie azioni, come il download di un malware da un sito infetto, avviare una chiamata telefonica per spiare l’utente o aprire la porta dell’abitazione, se la serratura smart è connessa ad Amazon Echo.

Fortunatamente DolphinAttack non rappresenta un grave pericolo, dato che un eventuale malintenzionato dovrebbe essere molto vicino allo smartphone della vittima. L’attacco ha elevate probabilità di successo solo in ambienti poco rumorosi e, in alcuni casi, è necessario usare frequenze specifiche per ogni microfono. Inoltre, gli assistenti emettono un suono per ogni comando vocale ricevuto e richiedono una conferma. In ogni caso, i ricercatori cinesi suggeriscono ai produttori di apportare modifiche hardware e software per ignorare segnali con frequenze superiori a 20 kHz.