Un gruppo di ricercatori dell’università di Zheijiang, in Cina, ha trovato un modo per entrare negli smartphone ed aprire siti web dannosi, per accedere ai dispositivi smart connessi sfruttando le frequenze ad ultrasuoni.
Stando al report, il malware viene introdotto tramite Dolphin Attack, dove le frequenze superiori ai 20KHz vengono inviate ad uno smartphone vicino per attaccare gli assistenti vocali digitali come Google Assistant, Apple Siri, Amazon Alexa e altri: queste frequenze sono impercettibili all’orecchio umano, ma i microfoni degli smartphone sono perfettamente in grado di catturarle.
Con questo attacco, i ricercatori sono stati in grado di tradurre comandi vocali in frequenze ultrasuoni e riprodurli utilizzando componenti a buon mercato, come uno smartphone normale, una batteria, un trasduttore a ultrasuoni e un amplificatore.
Probabilmente la tecnica del Dolphin Attack funziona su tutti gli assistenti digitali come Google Assistant, Samsung S Voice, Amazon Alexa, Siri, Samsung Bixby e conseguentemente sui dispositivi MacBook, iPad, Amazon Echo, ma anche automobili come le Audi Q3 e altro ancora.
L’aspetto più spaventoso di questo malware è che il riconoscimento vocale può facilmente riconoscere questa frequenza su uno qualsiasi dei dispositivi di cui sopra e l’attacco funziona pur mantenendo attive le classiche misure di sicurezza.
L’efficacia dell’ attacco è stata dimostrata dai ricercatori: ad esempio, hanno mostrato come avrebbero potuto cambiare la navigazione su un Audi Q3 comandando gli smartphone facendo lanciare loro il “dolphinattack.com” per aprire gli sportelli.
Bisogna notare che ci sono alcuni presupposti perché questo hack funzioni: lo smartphone a cui deve essere trasmesso il segnale deve trovarsi entro un raggio di 5-6 metri dal trasmettitore ed inoltre l’assistente vocale installato nel telefono dovrebbe essere attivato, ma così facendo l’utente verrebbe comunque avvisato in quanto gli assistenti emettono un segnale acustico quando rispondono ai comandi.
In pratica, le condizioni per sferrare l’attacco informatico richiedono che il dispositivo sia vicino e sbloccato con l’assistente vocale attivato e che l’utente dovrebbe essere assente o distratto. Nel complesso, questo è sicuramente uno scenario molto improbabile, ma non impossibile specialmente per i cybercriminali professionisti nel settore, i quali potrebbero causare danni non indifferenti.
