Cerca nel blog

2016/07/08

Comandi vocali nascosti nei video attivano i telefonini? Calma un attimo

Sta circolando la notizia che dei ricercatori della Georgetown University e della University of California hanno dimostrato di poter eseguire comandi a distanza sugli smartphone Android e iOS ricorrendo a istruzioni vocali fortemente distorte, diffuse da un altoparlante. Il video è notevole, anche perché i comandi sono incomprensibili all’orecchio umano (perlomeno al mio) ma vengono capiti egregiamente dal telefonino, e hanno una sonorità inquietante.

Il risultato, nel video, è che un comando vocale riesce a far visitare un sito (che potrebbe essere un sito ostile o imbarazzante) e addirittura riesce a mettere il telefonino in modalità aereo: in pratica lo spegne a distanza, rendendo irreperibile il suo proprietario.



Ma la realtà dei fatti non è così semplice ed elegante come mostrato nel video, perlomeno secondo le mie prove. Infatti non sono riuscito a replicare gli effetti descritti facendo ascoltare il video all mio Nexus 5X, sul quale ho Android 6.0.1, che ho impostato andando in Impostazioni - Lingua e immissione - Lingua - English (US) e poi attivando OK Google (Settings - Language and input - Google Voice Typing - "Ok Google" detection - Always on), probabilmente perché questa versione di Android confronta l’audio con i campioni della mia voce che mi ha chiesto e accetta solo la mia voce o una voce molto simile.

L’articolo scientifico originale cita la versione 4.4.2 di Android (oltre alla versione 9.1 di iOS), per cui ho riesumato un vecchio Switel con Android 4.4.2 e l’ho configurato come sopra. Stavolta Google non mi ha chiesto campioni della mia voce e il riconoscimento dei comandi distorti è andato un pochino meglio: il comando “Ok Google” è stato riconosciuto, ma soltanto quando ho riprodotto l’audio mettendo l’altoparlante a ridosso del microfono dello smartphone.

Morale della storia: la dimostrazione dei ricercatori è concettualmente intrigante, perché mostra una vulnerabilità che molti non immaginano, ma in termini realistici le possibilità di eseguire un attacco in questo modo sono piuttosto modeste: serve un Android vecchio, sul quale sia attiva l’opzione OK Google e sia anche stata scelta la lingua corrispondente a quella delle registrazioni audio usate per l’attacco. Inoltre le condizioni audio necessarie sono particolarmente delicate.

In realtà se avete un Android vulnerabile a questo attacco dovreste preoccuparvi del fatto che state usando una versione di Android troppo antica, che vi espone a ben altri attacchi più semplici e probabili. Ma questa è un’altra storia.

5 commenti:

Giovanni Di Blasi ha detto...
Questo commento è stato eliminato dall'autore.
rico ha detto...

Interessante. Mi ricorda il film Sneakers (i signori della truffa) in cui Mary McDonnell (Liz) esce a cena con un impiegato, per registrare le parole occorrenti a sbloccare una porta a riconoscimento vocale.
Ottenere la pass-frase intera è davvero difficile e improbabile.

Daniele ha detto...

In realtaà non è necessaria una versione vecchia di Android.
Sul mio S2 ho una rom con Marshmallow ed attiva la ricerca con Ok google con campionamento della mia voce.
Ebbene, alle volte capita in ufficio che il telefono si attivi quando un mio collega dica anche solo OK. Sono stati casi sporadici ma sono capitati.

ferdinando traversa ha detto...

Io riesco a sentirlo OkGoogle

m477 ha detto...

Alcune parole si capiscono bene. In ogni caso, in caso di blocco con codice, sia iOS che Android chiedono l'inserimento lo sblocco, e su Android, anche dopo aver inserito il codice, si aprono semplicemente le impostazioni, senza che accada nulla.