SurfingAttack : la vulnérabilité des assistants vocaux connectés à nouveau pointée du doigt ! (les ultrasons du dauphin...)

En 2017, DolphinAttack mettait en exergue une faille potentiellement exploitable sur quasiment tout les assistants connectés vocaux : accéder à Siri, Alexa ou, encore, Google Home tout en jouant sur les ultrasons pour activer l'appareil et ainsi le détourner à des fins applicatives malveillantes. L'essai est malheureusement revalidé avec SurfingAttack...

 

 

"En complétant la boucle d'interaction d'une attaque sonore inaudible, SurfingAttack permet de nouveaux scénarios d'attaque, tels que le détournement d'un mot de passe via SMS (Short Message Service), effectuant ainsi des appels fantômes frauduleux à l'insu des propriétaires", est-il indiqué en préambule par l'équipe de chercheurs issus des Université du Michigan (SEIT Lab), de Washington (Saint-Louis), du Nebraska-Lincoln ou encore de l'Académie des Sciences chinoise.

 

A la différence de l'attaque démontrée il y a trois ans, la vulnérabilité mise en lumière n'exploite pas que les ondes dans les airs : en effet, comme souligné par les chercheurs sécuritaires, SurfingAttack va exploiter les ondes acoustiques par le biais d'un appareil collé en-dessous d'une table par exemple : il s'agit d'un PZT, composé de titano-zirconate de plomb qui va permettre de faire onduler les ondes tout du long du meuble ou ensemble sur lequel il est apposé. Ainsi, si un assistant connecté est disposé sur la surface, il captera ses ondes comme une initialisation de commande (vocale). Couplé avec un smartphone, l'ensemble devient sécuritairement hasardeux.

Différent matériaux ont été testés pour la conductivité du signal : une table en aluminium ou en métal (quelle que soit sa finesse !) optimise le signal (diffusé en 30V) à 100 % dans tout les cas ; seul un support en verre fera office de léger bouclier. Autre point, si le signal repose sur une attaque reposant sur un signal de 9V, l'effet est un peu atténué. Concernant les coques de smartphone (en plastique), des feuilles de papiers (par 3), une nappe en vinyle, le fameux "ok, Google" matche entre 75 % et 90 % des cas : seule une nappe en intissé (deux couches) pourrait faire barrage-naturel.

Bon nombre d'acteurs technologiques sont concernés : Google (Pixel, Pixel 2, Pixel 3), Moto (G5, Z4), Samsung (Galaxy : S7, S9), Xiaomi (Mi : 5, 8, 8 Lite), Huawei (Honor View 10) ou encore Apple (iPhone : 5, 5S, 6 Plus, X). Il y a fort à parier que d'autres (qui n'ont pas été testés, donc) seraient également concernés par une telle vulnérabilité. Pour l'heure, le seul moyen de se parer d'une telle attaque consiste ne pas mettre son smartphone directement en contact avec un meuble (nappe en tissu, intissé), désactiver certaines options vocales des assistants appareillés au smartphone (depuis l'écran de verrouillage notamment, comme les résultats personnels) voir l'usage d'une coque de téléphone plus épaisse et faite en bois, par exemple... A veiller !

 

Source : SurfingAttack - site officiel.