I ricercatori dell'Università del Texas a San Antonio e dell'Università del Colorado, Colorado Springs, hanno scoperto un nuovo allarmante attacco informatico che può prendere di mira altoparlanti intelligenti, smartphone, tablet e altro ancora, senza che tu lo sappia.
L'attacco consiste in un messaggio impercettibile che può essere raccolto dalla tecnologia di riconoscimento vocale per sfruttare una vulnerabilità e procedere con attività dannose, come il download di malware.
Fortunatamente, la vulnerabilità è stata evidenziata da ricercatori (si apre in una nuova scheda) piuttosto che veri criminali informatici, tuttavia, a meno che Big Tech non agisca rapidamente, potrebbe farlo soon diffondersi in un attacco informatico globale su vasta scala.
Attacco informatico impercettibile dell'altoparlante intelligente
L'attacco, di cui esistono due varianti, è stato soprannominato "Near-Ultrasound Inaudible Trojan" (NUIT) e, come suggerisce il nome, utilizza onde quasi ultrasoniche per condurre un attacco informatico.
NUIT-1 si basa su un singolo dispositivo per trasmettere e ricevere il comando, mentre NUIT-2 vede un dispositivo che trasmette il messaggio e qualsiasi altro IoT nelle vicinanze che riceve.
Mentre l'orecchio umano non è in grado di rilevare le onde quasi ultrasoniche, gli altoparlanti intelligenti e gli assistenti vocali possono farlo. Pertanto, il rischio di esposizione è praticamente nullo, rendendo più difficile rilevare se i nostri dispositivi sono presi di mira.
I ricercatori descrivono come un breve comando non udibile, che misura 0.77 secondi, può essere incorporato in qualsiasi numero di media legittimi come i video di YouTube e persino le chiamate Zoom.
Dei 17 dispositivi popolari testati dai ricercatori, i dispositivi Siri sono risultati essere i più sicuri con ulteriori misure di autenticazione vocale per impedire ad altre voci di accedere a dati sensibili, come sistemi di sicurezza domestica intelligenti e serrature intelligenti.
Ulteriori informazioni dovrebbero essere rivelate all'USENIX Security Symposium 2023 ad agosto, ma nel frattempo TechRadar Pro ha contattato Apple, Google e Amazon per scoprire cosa potrebbero fare per porre rimedio alla vulnerabilità.