Amaya Tomanová Bezpečnostní experti odhalili způsob, jak aktivovat Siri (a další chytré digitální asistenty a asistentky) za pomoci ultrazvukových vln, které jsou lidským sluchem běžně nepostřehnutelné. Tento trik lze využít třeba ke čtení zpráv, provádění podvodných telefonních hovorů nebo pořizování fotografií bez vědomí uživatele.
Mohlo by vás zajímat
Jaromír Miko Program s názvem SurfingAttack využívá vysokofrekvenčních, lidským sluchem nepostřehnutelných zvukových vln nejen k samotné aktivaci digitálních hlasových asistentek, ale také k interakci s nimi. SurfingAttack přenáší zmíněné ultrazvukové vlny přes pevné materiály, jako jsou třeba stoly. K těm podle expertů stačí připojit nepříliš drahý piezoelektrický převodník, který vlny rozšíří tak, jak je potřeba, a bez vědomí uživatele aktivuje hlasovou asistentku.
Zmíněný tým bezpečnostních expertů dokázal tímto způsobem aktivovat různé hlasové asistentky a úspěšně provést příkazy pro zahájení telefonního hovoru, pořízení fotografie nebo dokonce přečtení textové zprávy, která obsahovala číselný kód dvoufázového ověření. Útok byl proveden tak, že k napadenému zařízení byl za pomoci zmíněného převodníku, umístěného pod stolem, nejprve vyslán nepostřehnutelný příkaz, který vedl ke snížení jeho hlasitosti.
Odborníci program SurfingAttack otestovali celkem na sedmnácti zařízeních, z nich většinu se jim s jeho pomocí podařilo ovládnout. Jednalo se nejenom o iPhone, ale také o smartphony značky Google Pixel nebo Samsung Galaxy. Odborníci uvedli, že se jim tímto způsobem nepodařilo napadnout Huawei Mate 9 a Samsung Galaxy Note 10+. Vůči programu SurfingAttack jsou zranitelné všechny digitální asistentky včetně Siri, Google Assistant a Bixby, útok ale nelze použít u chytrých reproduktorů, jako je Amazon Echo nebo Google Home. SurfingAttack využívá vlastností MEMS mikrofonu, který se nachází u většiny zařízení ovladatelných hlasem, a který disponuje schopností převést zvukové nebo světelné vlny na využitelné příkazy.
Příslušná studie byla publikována mezinárodním týmem výzkumných pracovníků z Washington University v St. Louis, Michiganské státní univerzity, Čínské akademie věd a univerzity v Nebrasce, a poprvé byla prezentována na sympoziu Network Distributed System Security v San Diegu 24. února. Nejedná se nicméně o první případ, kdy byly zvukové vlny využity pro tyto účely.
