Sprachassistenten sollten unser Leben leichter machen. An einigen Stellen ist dies wahr, aber sowohl Siri als auch Google Assistant sind anfällig für Hacking. Nichts hindert einen Hacker, der Ihren Sprachassistenten kompromittiert hat, daran, alle persönlichen Dateien und Daten zu stehlen.
Eine Gruppe US-chinesischer Entwickler startete einen Angriff namens SurfingAttack, bei dem mithilfe von Ultraschallwellen Siri, Google Assistant und Bixby gestartet werden (in Russland funktioniert dies nicht). Das Team konnte persönliche Informationen anfordern und Anrufe tätigen, ohne physischen Zugriff auf das Telefon zu haben.
Im vergangenen Jahr haben Entwickler bewiesen, dass Ultraschallwellen und Laser unter bestimmten Bedingungen Sprachassistenten starten können (die Reichweite beträgt nicht mehr als 5 bis 10 Meter, d. H. Der Hacker muss sich im Sichtfeld des Opfers befinden). SurfingAttack verfolgt einen viel ausgefeilteren Ansatz, bei dem Einbruchsgeräte an öffentlichen Orten (Cafés, Bars, Restaurants, Supermärkte) unter einem Tisch platziert werden.
Wenn sich das Gerät in der Nähe befindet, überträgt eine runde piezoelektrische Scheibe im Wert von 300 Rubel (für aliexpress) Befehle an das Telefon. Er kann den Helfer mit einer Triggerphrase wecken („Ok Google“) und dann nach Informationen fragen oder Anrufe einleiten.
Das Team verwendete einen Laptop mit Text-to-Speech-Software, um die erforderlichen Befehle über WLAN oder Bluetooth an das Smartphone mit Jailbreak zu senden. Die Disc war nur einen Meter vom Telefon entfernt, aber die Tischplatte verbirgt die Ausrüstung vor dem Ziel (das Hacking-Gerät kann mit Klebeband an der Unterseite der Tischplatte befestigt werden). Darüber hinaus liegen Ultraschallwellen außerhalb des Bereichs des menschlichen Gehörs.
Hacker können Fotos aufnehmen, Textnachrichten lesen und Anrufe an eine beliebige Telefonnummer tätigen. Ein Angreifer kann damit Zwei-Faktor-Authentifizierungscodes lesen oder Premium-Tarife anrufen.
Das Opfer ist sich möglicherweise nicht einmal bewusst, dass sein Telefon von selbst funktioniert, es sei denn, es schaut auf den Bildschirm. Ein Hacker kann das Mikrofon in Ihrem Telefon verwenden, um Ihre Konversation aus der Ferne aufzuzeichnen. Dazu sendet er einen Befehl an Google Assistant – schalten Sie das Mikrofon ein und starten Sie die Aufnahme. Anschließend wird die Audioaufnahme per E-Mail gesendet oder im Cloud-Speicher abgelegt.
SurfingAttack funktioniert auf praktisch allen Geräten mit aktiviertem Sprachassistenten. Das Team testete Telefone von Apple, Google, Samsung, Motorola, Xiaomi und Huawei. – Insgesamt 17 Modelle, von denen 15 anfällig waren. Der beste Schutz vor solchen Ultraschallangriffen besteht darin, das Telefon auszuschalten oder den Sprachassistenten zu deaktivieren.