Bezpečnostní experti odhalili způsob, jak aktivovat Siri (a další chytré digitální asistenty a asistentky) za pomoci ultrazvukových vln, které jsou lidským sluchem běžně nepostřehnutelné. Tento trik lze využít třeba ke čtení zpráv, provádění podvodných telefonních hovorů nebo pořizování fotografií bez vědomí uživatele.
Program s názvem SurfingAttack využívá vysokofrekvenčních, lidským sluchem nepostřehnutelných zvukových vln nejen k samotné aktivaci digitálních hlasových asistentek, ale také k interakci s nimi. SurfingAttack přenáší zmíněné ultrazvukové vlny přes pevné materiály, jako jsou třeba stoly. K těm podle expertů stačí připojit nepříliš drahý piezoelektrický převodník, který vlny rozšíří tak, jak je potřeba, a bez vědomí uživatele aktivuje hlasovou asistentku.
Zmíněný tým bezpečnostních expertů dokázal tímto způsobem aktivovat různé hlasové asistentky a úspěšně provést příkazy pro zahájení telefonního hovoru, pořízení fotografie nebo dokonce přečtení textové zprávy, která obsahovala číselný kód dvoufázového ověření. Útok byl proveden tak, že k napadenému zařízení byl za pomoci zmíněného převodníku, umístěného pod stolem, nejprve vyslán nepostřehnutelný příkaz, který vedl ke snížení jeho hlasitosti.
Odborníci program SurfingAttack otestovali celkem na sedmnácti zařízeních, z nich většinu se jim s jeho pomocí podařilo ovládnout. Jednalo se nejenom o iPhone, ale také o smartphony značky Google Pixel nebo Samsung Galaxy. Odborníci uvedli, že se jim tímto způsobem nepodařilo napadnout Huawei Mate 9 a Samsung Galaxy Note 10+. Vůči programu SurfingAttack jsou zranitelné všechny digitální asistentky včetně Siri, Google Assistant a Bixby, útok ale nelze použít u chytrých reproduktorů, jako je Amazon Echo nebo Google Home. SurfingAttack využívá vlastností MEMS mikrofonu, který se nachází u většiny zařízení ovladatelných hlasem, a který disponuje schopností převést zvukové nebo světelné vlny na využitelné příkazy.
Příslušná studie byla publikována mezinárodním týmem výzkumných pracovníků z Washington University v St. Louis, Michiganské státní univerzity, Čínské akademie věd a univerzity v Nebrasce, a poprvé byla prezentována na sympoziu Network Distributed System Security v San Diegu 24. února. Nejedná se nicméně o první případ, kdy byly zvukové vlny využity pro tyto účely.