Gli assistenti vocali come Alexa di Amazon, Google Assistant e Siri di Apple si possono trovare nelle case di sempre piu’ persone, nonostante la questione ‘privacy’ di tanto in tanto emerge facendo discutere non poco. Piu’ di recente, giusto per ricordare, i fornitori dei principali assistenti vocali si sono attivati per consentire agli utenti di esprimere o meno il loro consenso all’utilizzo delle clip audio delle loro interazioni con gli assistenti per trascriverne il contenuto ed elaborarlo al fine di migliorare il servizio. Ora, come notato da un team internazionale di ricercatori di sicurezza (via Fox News), è emerso che gli assistenti vocali possono essere facilmente hackerati proiettando un laser sui microfoni integrati nei dispositivi tramite i quali ‘parlano’ e ‘ascoltano’.
Video che spiega la vulnerabilita’ Light Commands
"Light Commands" è il nome della vulnerabilità trovata nei microfoni MEMS che "consente agli aggressori di iniettare da remoto comandi impercettibili e invisibili negli assistenti vocali, come l’assistente Google, Amazon Alexa, Facebook Portal e Apple Siri usando la luce".
Fanno parte del team di ricercatori dietro la scoperta di Light Commands: Takeshi Sugawara della The University of Electro-Communications (Tokyo), Benjamin Cyr della University of Michigan, Sara Rampazzi della University of Michigan, Daniel Genkin della University of Michigan, Kevin Fu della University of Michigan
Nel documento che i ricercatori hanno reso accessibile online a chiunque sul sito web lightcommands.com viene spiegata la vulnerabilità come funziona: "una luce laser puo’ essere usata per iniettare comandi dannosi in diversi dispositivi a comando vocale come altoparlanti intelligenti, tablet e telefoni su grandi distanze e attraverso finestre di vetro".
Le conseguenze di questo tipo di hackeraggio, trattandosi dell’invio di comandi vocali non autorizzati, variano in gravità in base al tipo di comandi che possono essere eseguiti tramite la voce, dicono i ricercatori. Ad esempio, un malintenzionato potrebbe inviare attraverso la luce comandi vocali per controllare i dispositivi della casa intelligente, aprire le porte del garage intelligente fare acquisti online, sbloccare e avviare da remoto determinati veicoli, e altro ancora.
Come questo puo’ essere possibile? I microfoni integrati negli altoparlanti intelligenti convertono il suono in segnali elettrici e, come scoperto dai ricercatori, reagiscono anche alla luce diretta puntata direttamente verso di essi. Pertanto, modulando un segnale elettrico nell’intensità di un raggio luminoso, malintenzionati potrebbero indurre i microfoni a produrre segnali elettrici come se stessero ricevendo un comando vocale autentico, ingannando di fatto Alexa, Siri, Google Assistant o altro assistente vocale.
Light Commands Demo 1
La luce dei laser è particolarmente efficace poichè è in grado di percorrere lunghe distanze, con il malintenzionato che deve solo stare attento a puntare la luce direttamente verso un microfono di uno smart speaker. Dai test condotti, il team di ricercatori è riuscito ad hackerare un assistente vocale da una distanza di 110 metri.
Avere dispositivi intelligenti in casa che fanno quello che vogliamo solo impartendo comandi vocali è bello e comodo, ma cio’ su cui i ricercatori vogliono ricordare è che chiunque puo’ interagire con gli assistenti vocali in una smart home. Non c’è problema se ad un nostro ospite in casa facciamo provare ad accendere o spegnere le luci o altro. Fino a quando si tratta di accendere/spegnere le luci non ci sono problemi. Se un assistente vocale pero’ è in grado di elaborare comandi come "disattiva le telecamere di sicurezza" iniziano i problemi. Un ladro che urla "Alexa, disattiva le telecamere di sicurezza" potrebbe disattivare le telecamere ma comunque svegliare tutti il vicinato dal sonno, dunque non gli converrebbe. Tuttavia, i ricercatori hanno ora dimostrato che in silenzio e a distanza, anche attraverso una finestra, ad un ladro basterebbe un laser appositamente modificato per inviare attraverso la luce il comando vocale per disattivare le telecamere.
Non ci sono assistenti esenti dal problema. Nelle prove condotte dai ricercatori sono hackerabili con laser gli assistenti vocali piu’ diffusi quali Amazon Alexa, Apple Siri, Facebook Portal e Google Assistente su dispositivi come Google Home, Google Home mini, Echo Plus (1a e 2a generazione), Echo, Echo Dot (2a e 3a generazione), Echo Show 5, Echo Spot, Facebook Portal Mini, Fire Cube TV, iPhone XR, iPad 6a Gen, Samsung Galaxy S9, Google Pixel 2. E questi sono solo i dispositivi testati dai ricercatori, quindi nella realtà praticamente tutti i dispositivi simili dovrebbero essere vulnerabili ai ‘comandi di luce’. In base al dispositivo varia la distanza da cui l’hackeraggio puo’ essere fatto.
Light Commands Demo 2
Light Commands Demo 3
Ci si puo’ proteggere da questo tipo di attacco?
Secondo i ricercatori, un ulteriore livello di autenticazione può essere efficace per limitare "un po’" l’attacco. Ad esempio, i fornitori di assistenti digitali potrebbero fare in modo che l’assistente ponga una domanda casuale prima di eseguire un comando, in modo da ricevere la risposta solo se l’utente si trova lì vicino. Se c’è un malintenzionato fuori casa, che invia un segnale di luce tramite una porta a vetri, teoricamente non ha modo di rispondere all’assistente vocale, quindi di attivare il comando iniettato col laser. Questa soluzione, tuttavia, farebbe venire meno la comodità di usare la voce per far svolgere qualcosa velocemente all’assistente vocale. In alternativa, dal momento che gli altoparlanti intelligenti con assistente vocale hanno almeno due o piu’ microfoni integrati, i produttori potrebbero fare in modo che l’assistente si attivi solo nel caso di rilevamento di audio da piu’ microfoni, non solo da uno – infatti, il laser puo’ inviare il segnale ad un solo microfono. Altra soluzione potrebbe essere una modifica all’hardware interno dei dispositivo, posizionando i vari elementi in maniera tale da bloccare l’ingresso di luce diretta, non rendendola ‘visibile’ ai microfoni.
