Scoperto un exploit che sfrutta Siri, Alexa ed Assistente Google tramite comandi nascosti in file audio e canzoni.


Di recente un gruppo di ricercatori della University of California Berkeley ha dimostrato come attraverso una semplice manomissione di un file audio sia possibile impartire comandi a Siri, Alexa ed Assistente Google senza che gli utenti se ne rendano conto e con la possibilità di eseguire teoricamente azioni dannose. In pratica si tratta del frutto di uno studio avviato nel 2016 e che in questi giorni è arrivato a concretizzarsi con una pubblicazione nella quale viene spiegato come, mentre inizialmente era possibile nascondere alcuni comandi in un file audio contenente rumore bianco, adesso i ricercatori sono stati in grado di fare la medesima cosa partendo da un qualsiasi brano musicale o da un discorso registrato. In sostanza i responsabili dello studio sono riusciti, per esempio, ad inserire il comando "Ok Google, browse to evil.com", (impercettibile ad "orecchio nudo"), sia nel file audio contenente la frase "Without the data set, the article is useless" sia all'interno di una clip di appena 5 secondi estratta dal Requiem di Giuseppe Verdi. In altre parole si tratta di una sorta di evoluzione del cosiddetto Dolphin Attack, vale a dire la tecnica dimostrata lo scorso anno da alcuni ricercatori della Zhejiang University che permette di fare più o meno la stessa cosa mediante l'impiego di ultrasuoni del tutto inudibili dall'orecchio umano, ma perfettamente interpretabili dagli smartphone o dagli smart speaker. Ad ogni modo, anche se per il momento non sembrano essere stati registrati casi di utilizzo malevolo di questa nuova tecnica, presto le cose potrebbero iniziare a cambiare: un malintenzionato potrebbe, ad esempio, sfruttarla per prendere possesso dei dispositivi altrui ed inviare messaggi, accedere ad uno specifico indirizzo, effettuare acquisti online, inviare denaro o addirittura interferire con il funzionamento degli apparecchi smart presenti in casa. Insomma, viene da sé che ci si trova, infine, davanti ad un problema che adesso Apple, Amazon e Google dovranno prendere in considerazione per intervenire il prima possibile andando così a fermare sul nascere un potenziale enorme rischio per la sicurezza degli utenti.

Di seguito i suddetti esempi:

Senza il comando nascosto.

Con il comando nascosto.

Senza il comando nascosto.

Con il comando nascosto.

Commenti