Un nouveau hack ultrasonique peut exploiter votre Siri

Les chercheurs tirent la sonnette d'alarme concernant un nouveau type de piratage ciblant les assistants numériques intelligents comme Alexa d'Amazon ou Siri d'Apple.

Ce piratage, appelé « SurfingAttack », utilise des WAVES ultrasonores guidées, imperceptibles à l'oreille Human , pour communiquer avec un appareil via l'assistant vocal. Il pourrait être utilisé pour cibler les services Ring équipés de pênes dormants ou pour modifier la température de votre thermostat.

Les chercheurs en sécurité qui ont développé l'attaque affirment qu'elle permet plusieurs cycles d'interactions entre un appareil à commande vocale et les attaquants sur des distances relativement longues et sans que l'appareil soit à portée de vue. Elle pourrait même être menée à travers une surface lourde, comme une table.

« Les humains ne peuvent rien entendre, mais les assistants vocaux interpréteront ces sons ultrasoniques comme une commande vocale et effectueront certaines opérations grâce à cela », a déclaréQiben Yan, professeur adjoint àUniversité d'État du MichiganLaboratoire des objets sécurisés et intelligents de l'Université de Californie à Los Angeles, qui était le chercheur principal du projet. « En envoyant les commandes à l'assistance vocale, nous pouvons contrôler l'assistant vocal. Les possibilités sont nombreuses lorsque les gens posent leur téléphone sur une table et le laissent sans surveillance. »

Yan a expliqué que les pirates pourraient engager des conversations avec les contacts d'une victime et, selon le niveau de connexion de leurs appareils, potentiellement contrôler les appareils domestiques, verrouiller ou déverrouiller une voiture ou une porte d'entrée, ou encore modifier le thermomètre. De telles attaques pourraient également impacter l'authentification à deux facteurs, en lisant le code de sécurité envoyé par SMS au pirate.

En utilisant un transducteur PZT disponible dans le commerce à 5 $, un type de transducteur électroacoustique, les chercheurs ont réussi à compromettre les dispositifs suivants.

Ils pensent que davantage d’appareils pourraient être vulnérables, notamment les téléphones protégés par des coques en caoutchouc de silicone.

Il existe cependant des mesures que l'on peut prendre pour prévenir de telles attaques. Désactiver l'assistance vocale lorsque votre téléphone est verrouillé ou s'assurer que votre téléphone est recouvert d'une couverture telle qu'une nappe peut empêcher les ultrasons de l'affecter. L'utilisation d'étuis de téléphone en matériaux inhabituels comme le bois peut également aider.