L’immaginario cinematografico ha creato il mito dell’hacker (nel senso di chi viola computer e sistemi in generale) dotato di abilità eccezionali o di strumenti particolari costosi, o di entrambi.

In realtà, come hanno dimostrato di recente alcuni ricercatori, spesso per accedere illecitamente a un dispositivo basta molto meno: può essere sufficiente un apparecchio che costa appena 5 dollari.

Gli studiosi della Michigan State University, della University of Nebraska-Lincoln, della Washington University and della Accademia cinese delle Scienze hanno infatti svelato come sia possibile compromettere degli smartphone – tra cui Apple iPhone, Samsung Galaxy e Google Pixel – sfruttando le funzionalità di assistente vocale tramite gli ultrasuoni.

L’attacco è stato chiamato SurfingAttack e funziona con Siri (l’assistente di Apple), Bixby (quello di Samsung) e Google Assistant: grazie ad essi i ricercatori hanno potuto sbloccare i dispositivi, leggere i codici per l’autenticazione a due fattori dai messaggi di testo, fare telefonate e anche scattarsi dei selfie.

Il tutto è stato reso possibile tramite un trasduttore piezoelettrico a ultrasuoni, che è poi il componente dell’esperimento che costa 5 dollari: il suo scopo è generare delle onde ultrasoniche facendo vibrare dei materiali solidi.

Il trasduttore è stato posizionato al di sotto di un tavolo, sopra al quale sono stati appoggiati gli smartphone da violare: gli ultrasuoni sono stati usati per impartire dei comandi e sono stati captati dal componente del microfono chiamato Mems (micro-electro-mechanical-systems).

Il sistema ha funzionato perfettamente: i comandi, inudibili dall’orecchio umano, sono arrivati a ognuno dei telefoni sottoposti a test e sono stati celermente eseguiti.

Per quanto economico e fondamentalmente semplice, un attacco di questo genere ha dei limiti che lo rendono meno pericoloso di quello che si potrebbe pensare.

Innanzitutto s’è scoperto che il sistema funziona senza problemi se la distanza tra il trasduttore e lo smartphone è intorno ai 50 centimetri o inferiore, anche se il raggio d’azione può aumentare se si aumenta il numero di trasduttori posti sotto al tavolo.

Poi, naturalmente, è necessario attrezzare un tavolo – o comunque la superficie sulla quale sarà poggiato il dispositivo bersaglio – con i trasduttori, e impartire i comandi: insomma, perché l’operazione abbia successo è richiesta una certa preparazione.

In ogni caso, per difendersi dal SurfingAttack la prima cosa da fare in modo che l’assistente vocale non sia raggiungibile dalla schermata di blocco: in questo modo non sarà possibile accedere alle funzioni del telefono.

Di seguito, un elenco degi smartphone sicuramente vulnerabili e un video dimostrativo.

– Google Pixel
– Google Pixel 2
– Google Pixel 3
– Moto G5
– Moto Z4
– Samsung Galaxy S7
– Samsung Galaxy S9
– Xiaomi Mi5
– Xiaomi Mi8
– Xiaomi Mi8 Lite
– Huawei Honor View 10
– iPhone 5
– iPhone 5s
– iPhone 6+
– iPhone X

[embedded content]