Una nuova minaccia per la sicurezza degli smartphone e per i nostri dati: i comandi vocali a ultrasuoni

L’orecchio umano non li percepisce, ma l’assistente vocale sì. Secondo alcuni ricercatori Siri, Alexa, Google Assistant, Cortana, Bixby e il corrispettivo di Huawei sono tutti colpiti, ma risolvere il problema è facile.
L’ultima falla di sicurezza che mette in pericolo la sicurezza dei nostri smartphone prende di mira gli assistenti vocali pensati per renderci più semplice la vita quotidiana. L’allarme lo lancia un team di ricercatori della Zhejiang University descrivendo una tipologia di attacco piuttosto semplice ma insidiosa, che sfrutta gli ultrasuoni per impartire di nascosto comandi vocali agli assistenti digitali di Amazon, Apple, Google, Huawei, Microsoft e Samsung.
La tecnica è basata su un algoritmo che traduce i tipici comandi vocali che gli assistenti sono addestrati a recepire, come “Hey Siri”, e “Ok Google”, in segnali audio di frequenza superiore ai 20000 hz. Le sequenze acustiche che risultano da questa operazione si possono riprodurre con un normale smartphone equipaggiato con un amplificatore speciale da pochi euro, ottenendo un’arma insidiosa. I comandi impartiti in questo modo infatti non sono udibili dall’orecchio umano, ma restano perfettamente captabili dai microfoni degli smartphone, e interpretabili dai loro processori; basta che il volume sia sufficientemente alto e l’attacco funziona anche a diversi metri di distanza.
Considerata la versatilità di questi assistenti è facile intuire il potenziale malevolo di una vulnerabilità del genere: ottenendo l’attenzione degli assistenti digitali si può chiedere loro allo stesso modo di telefonare a numeri a pagamento o visitare siti infestati da malware, il tutto mentre il proprietario è ignaro di ciò che sta avvenendo. I ricercatori sono riusciti perfino a dirottare silenziosamente il sistema di navigazione di una Audi Q3, reimpostando a piacimento la destinazione finale del veicolo.
La falla è particolarmente insidiosa per i sistemi always on, ovvero quelli in ascolto anche quando il gadget è in standby, ma per tapparla occorre davvero poco; un semplice aggiornamento software da parte dei produttori dovrebbe essere sufficiente a rendere immuni i loro sistemi. Resta preoccupante però come una svista apparentemente innocua possa lasciare scoperti in questo modo software ai quali siamo già pronti ad affidare segreti e controllo sulla nostra quotidianità, e soprattutto come nessuno dei grandi nomi del panorama hi tech, nella foga di realizzare l’assistente vocale perfetto, abbia pensato prima a una possibilità del genere.

“Realizzato nell’ambito del Programma generale d’intervento della Regione Emilia Romagna con l’utilizzo dei fondi del Ministero dello Sviluppo Economico. Ripartizione 2015”