Cerca nel blog

2016/07/08

Comandi vocali nascosti nei video attivano i telefonini? Calma un attimo

Sta circolando la notizia che dei ricercatori della Georgetown University e della University of California hanno dimostrato di poter eseguire comandi a distanza sugli smartphone Android e iOS ricorrendo a istruzioni vocali fortemente distorte, diffuse da un altoparlante. Il video è notevole, anche perché i comandi sono incomprensibili all’orecchio umano (perlomeno al mio) ma vengono capiti egregiamente dal telefonino, e hanno una sonorità inquietante.

Il risultato, nel video, è che un comando vocale riesce a far visitare un sito (che potrebbe essere un sito ostile o imbarazzante) e addirittura riesce a mettere il telefonino in modalità aereo: in pratica lo spegne a distanza, rendendo irreperibile il suo proprietario.



Ma la realtà dei fatti non è così semplice ed elegante come mostrato nel video, perlomeno secondo le mie prove. Infatti non sono riuscito a replicare gli effetti descritti facendo ascoltare il video all mio Nexus 5X, sul quale ho Android 6.0.1, che ho impostato andando in Impostazioni - Lingua e immissione - Lingua - English (US) e poi attivando OK Google (Settings - Language and input - Google Voice Typing - "Ok Google" detection - Always on), probabilmente perché questa versione di Android confronta l’audio con i campioni della mia voce che mi ha chiesto e accetta solo la mia voce o una voce molto simile.

L’articolo scientifico originale cita la versione 4.4.2 di Android (oltre alla versione 9.1 di iOS), per cui ho riesumato un vecchio Switel con Android 4.4.2 e l’ho configurato come sopra. Stavolta Google non mi ha chiesto campioni della mia voce e il riconoscimento dei comandi distorti è andato un pochino meglio: il comando “Ok Google” è stato riconosciuto, ma soltanto quando ho riprodotto l’audio mettendo l’altoparlante a ridosso del microfono dello smartphone.

Morale della storia: la dimostrazione dei ricercatori è concettualmente intrigante, perché mostra una vulnerabilità che molti non immaginano, ma in termini realistici le possibilità di eseguire un attacco in questo modo sono piuttosto modeste: serve un Android vecchio, sul quale sia attiva l’opzione OK Google e sia anche stata scelta la lingua corrispondente a quella delle registrazioni audio usate per l’attacco. Inoltre le condizioni audio necessarie sono particolarmente delicate.

In realtà se avete un Android vulnerabile a questo attacco dovreste preoccuparvi del fatto che state usando una versione di Android troppo antica, che vi espone a ben altri attacchi più semplici e probabili. Ma questa è un’altra storia.

Nessun commento: