La vulnerabilità di MEMS rende possibile dirottare gli Assistenti vocali, tra cui Alexa, Google Home o Siri

Gli assistenti virtuali sono stati creati per svolgere varie attività per semplificarci la vita. Nel corso degli anni sono cambiati molto e oggi abbiamo persino assistenti vocali come Alexa e Siri che possono controllare diversi dispositivi intelligenti ed eseguire varie attività dopo aver ricevuto comandi verbali. Molti utenti li usano per ascoltare musica, controllare il tempo o fare acquisti online. Naturalmente, per poter eseguire queste attività, un assistente vocale deve avere accesso agli account dei suoi utenti e ad altri dispositivi domestici intelligenti. Quindi, dirottarlo potrebbe consentire agli aggressori di fare acquisti nel nome della vittima, accendere e spegnere i suoi dispositivi e così via. Sfortunatamente, recenti scoperte hanno rivelato che i criminali informatici potrebbero non aver nemmeno bisogno di usare strumenti dannosi per farlo. Apparentemente, potrebbe essere possibile per un hacker assumere un assistente intelligente con l'aiuto di un puntatore laser, un amplificatore audio e poche altre cose. Per saperne di più su questa scoperta, ti invitiamo a leggere il nostro post completo sul blog.

Mentre alcune persone non possono immaginare la propria vita senza case intelligenti, alcuni utenti evitano di avere troppi dispositivi intelligenti nel timore della propria sicurezza. Eventi come quello durante il quale gli hacker hanno attaccato i proprietari di una videocamera Nest o la scoperta di una vulnerabilità nei campanelli intelligenti di Amazon , dimostrano solo che l'utilizzo di tali dispositivi è sempre un rischio. Tuttavia, avere un dispositivo con un assistente vocale che potrebbe essere collegato a tutti i gadget intelligenti in casa potrebbe essere ancora più pericoloso. Qualche mese fa, gli specialisti della sicurezza informatica hanno dimostrato che gli assistenti vocali potevano essere impiegati dagli hacker tramite applicazioni dannose per spiare i propri utenti . Ora, sembra che i ricercatori abbiano scoperto un attacco agli assistenti vocali che potrebbe consentire ai criminali informatici di dirottarli e fare molto di più che ascoltare ciò che stai dicendo.

Come possono gli hacker assumere gli assistenti intelligenti?

Secondo i ricercatori dell'Università di Electro-Communications e dell'Università del Michigan che hanno pubblicato un documento chiamato Light Commands: attacchi di iniezione audio basati su laser su sistemi a controllo vocale , un utente malintenzionato potrebbe abusare del cosiddetto MEMS (sistemi microelettromeccanici ) vulnerabilità ai dispositivi di dirottamento come Alexa , Portal , Google Assistant e Siri . Sembrerebbe che i microfoni su questi gadget possano presentare la debolezza menzionata e possano essere sfruttati impiegando cose come un puntatore laser, un amplificatore audio, un cavo audio e un driver di corrente laser. Combinando queste cose, potrebbe essere possibile creare uno strumento che consenta di iniettare un comando registrato in un assistente vocale. In altre parole, gli aggressori potrebbero comunicare con gli assistenti audio trasformando la luce in suono e iniettando i comandi registrati tramite il microfono di un dispositivo mirato.

Di cosa hanno bisogno gli hacker per eseguire gli attacchi di iniezione audio basati su laser?

Fortunatamente, per dirottare un dispositivo e dare i cosiddetti comandi leggeri, gli hacker dovrebbero vedere il gadget a cui si stanno indirizzando e trovarsi a una distanza di 110 metri o meno. Inoltre, i ricercatori affermano che in alcuni casi gli hacker potrebbero dover essere ancora più vicini per sfruttare la vulnerabilità MEMS. Tutto dipende dal dispositivo di destinazione. Quanto a cosa potrebbero fare gli aggressori una volta che dirottano il tuo assistente vocale, potrebbe dipendere dal tipo di dispositivi intelligenti che hai e dal tipo di account collegati al tuo assistente vocale. Ad esempio, se hai collegato Alexa al tuo account Amazon in modo che possa comprare cose per te, l'attaccante potrebbe abusarne per acquistare beni per se stesso. Ciò che potrebbe sembrare ancora più spaventoso è che gli aggressori potrebbero forzare i codici PIN delle tue serrature intelligenti o persino avviare la tua auto se è collegata all'altoparlante.

Come proteggere il tuo assistente vocale dagli attacchi di iniezione audio basati su laser?

I ricercatori affermano che la mancanza di meccanismi di autenticazione sui microfoni è ciò che rende possibile eseguire con successo attacchi di iniezione audio basati su laser. Naturalmente, gli specialisti che hanno scoperto questo hanno già notificato alle aziende che creano sistemi a controllo vocale sulla vulnerabilità MEMS. Tuttavia, potrebbe essere necessario del tempo prima che comprendano appieno il problema e trovino un modo per proteggere i propri dispositivi dagli attacchi citati. Pertanto, fino a quando non accade, potrebbe essere necessario impedire agli hacker di dirottare il proprio assistente vocale da soli.

Come accennato in precedenza, il successo di tali attacchi non si basa sull'inganno agli utenti di rivelare informazioni che potrebbero aiutare ad accedere a dispositivi mirati o eliminare applicazioni dannose che potrebbero garantirle. Pertanto, le solite precauzioni di sicurezza, come la ricerca di applicazioni sospette o la mancata condivisione incurante delle informazioni sensibili, potrebbero non essere utili in questo caso particolare. Invece, è consigliabile tenere il dispositivo lontano da davanzali o luoghi in casa che potrebbero essere visibili attraverso le finestre. Se gli aggressori non sono in grado di puntare i laser sul microfono del dispositivo, l'assistente vocale dovrebbe essere al sicuro.

Nel complesso, la scoperta di attacchi di iniezione audio basati su laser ci ricorda che pur avendo una casa intelligente potrebbe rendere le cose più confortevoli e più divertenti, può anche essere pericoloso. Tuttavia, ciò non significa che devi dire addio ai tuoi dispositivi domestici intelligenti per essere al sicuro. Quello che consigliamo invece è di imparare come migliorare la sicurezza della tua casa intelligente . Inoltre, dovresti sempre rimanere aggiornato sulle ultime notizie sulla sicurezza informatica in modo da sapere come proteggere i tuoi dispositivi dalle ultime minacce.