Siri e Google Now rispondono alle onde radio

Gli assistenti personali di Apple e Google eseguono anche comandi vocali silenziosi. I ricercatori dell’ANSSI, l’agenzia nazionale per la sicurezza dei sistemi di informazione, hanno scoperto che Siri e Google Now obbediscono agli ordini delle onde radio trasmesse da una distanza di 5 metri. Un hacker potrebbe facilmente sfruttare le due tecnologie per eseguire azioni da remoto, senza che l’utente si accorga di nulla.

I ricercatori hanno scoperto che le onde radio possono attivare i comandi vocali su ogni iPhone e smartphone Android, se ai dispositivi viene collegata una cuffia con microfono. Il cavo della cuffia funziona come un’antenna e converte il segnale elettromagnetico in un segnale elettrico che il sistema operativo interpreta come l’audio proveniente dal microfono. Senza usare nessun comando vocale udibile, un hacker potrebbe chiedere a Siri e Google Now di effettuare una telefonata, aprire il browser su una pagina infetta o inviare messaggi di phishing via email, Facebook o Twitter. Si tratta evidentemente di un grave problema di sicurezza.

Per generare un segnale corrispondente ai noti comandi "Hey, Siri" e "OK, Google" sono sufficienti un notebook, una radio software-defined, un amplificatore, un’antenna e il software open source GNU Radio. Il dispositivo è abbastanza piccolo, può essere nascosto in uno zaino e coprire una distanza di circa 2 metri. Una versione più potente, con batterie di grandi dimensioni, può essere nascosta in un automobile ed operare in un raggio di 5 metri.

Gli iPhone sono maggiormente a rischio perché Siri è attiva dal lockscreen per default. L’assistente personale può essere attivato anche premendo a lungo il pulsante sulle cuffie. Se l’hacker intercetta il segnale ed effettua il reverse engineering, l’attacco può essere eseguito senza interazione dell’utente.

I ricercatori hanno consigliato a Google e Apple di schermare meglio il cavo delle cuffie e inserire nello smartphone un sensore elettromagnetico che blocca l’attacco. In alternativa si dovrebbe consentire agli utenti di impostare parole custom per attivare gli assistenti. Per adesso, l’unica soluzione è disattivare Siri e Google Now, soprattutto in luoghi affollati.