Des chercheurs ont réussi à tromper Google Assistant et Siri et les amener à effectuer diverses actions
En utilisant des ondes ultrasoniques
Le 2020-03-03 15:20:14, par Bill Fassinou, Chroniqueur Actualités
Des chercheurs de l’université de Washington à St Louis ont trouvé le moyen de pirater les assistants vocaux de Google et d’Apple en utilisant des ondes ultrasoniques. L’équipe des universitaires a utilisé avec succès des ondes ultrasoniques guidées pour tromper les assistants vocaux et les amener à effectuer diverses actions. Ces actions consistaient à passer des appels, récupérer des codes d'accès dans des messages texte et régler le volume. Les ondes ultrasoniques ont été transmises à travers une table sur laquelle sont posés les téléphones.
L'ultrason est une onde mécanique et élastique. Elle peut se propager au travers de supports fluides, solides, gazeux ou liquides. Les assistants vocaux ont la capacité d'écouter une fréquence bien plus large que celle produite par la voix humaine. Ainsi, ils peuvent recevoir les ultrasons et les interpréter comme étant des commandes vocales même si ces derniers sont totalement inaudibles pour l'oreille humaine. Les chercheurs se sont rendu compte que la plupart des smartphones qu’ils ont soumis à l’attaque partageaient tous cette vulnérabilité.
Pour l’expérience, les chercheurs ont utilisé des outils spécialisés, notamment un logiciel capable de produire les bonnes formes d'onde, un générateur d’ondes ultrasoniques pour émettre le signal, un transducteur piézoélectrique (c’est un dispositif qui transforme un signal électrique en vibrations physiques), et un microphone caché pour écouter la réponse de l'assistant vocal. L'équipe a ensuite effectué deux tests, l'un pour récupérer un code d'accès SMS (texte) et l'autre pour passer un appel frauduleux. Les résultats ont été surprenants.
D’après le rapport d’étude, le premier test reposait sur la commande commune aux assistants vocaux « lire mes messages » et sur l'utilisation d'une authentification à deux facteurs, dans laquelle un code d'accès est envoyé au téléphone d'un utilisateur, d'une banque par exemple, pour vérifier l'identité de l'utilisateur. Les chercheurs ont d'abord demandé à l'assistant virtuel de baisser le volume au niveau 3. À ce volume, la victime n'a pas remarqué les réponses de son téléphone dans un environnement de bureau avec un niveau de bruit modéré.
Par la suite, lorsque le message simulé d'une banque est arrivé, le dispositif d'attaque a adressé la commande vocale “lire mes messages” au téléphone. La réponse était audible par le microphone sous la table, mais pas par la victime. Lors du second test, le dispositif d'attaque a envoyé le message “appelez Sam avec le haut-parleur”, et cela a déclenché un appel. Puis, en utilisant le microphone sous la table, l'attaquant a pu mener une conversation avec “Sam”. En tout, les chercheurs ont testé 17 téléphones et l'attaque à l’ultrason a fonctionné sur 15 appareils de quatre fabricants.
Ces marques sont Google (Pixel 1, Pixel 2, Pixel 3), Motorola (G5, Z4), Samsung (Galaxy S7, Galaxy S9), Xiaomi (Mi 5, Mi 8, Mi 8 Lite) et Apple (iPhone 5/5s/6 Plus/X). Ils ont également noté que l'attaque a fonctionné contre des téléphones avec des étuis en silicone. Quoi qu'il en soit, il est très probable que de nombreux autres téléphones soient touchés par ce piratage. Parmi les deux téléphones qui n’ont pas été atteints par l’attaque, il y a le Huawei Mate 9 et le Samsung Galaxy Note 10 Plus. Ils ont constaté les caches arrière incurvées de ces téléphones les protégeaient.
En d’autres termes, les caches réduisaient la surface de contact du téléphone avec la table. Pour se protéger contre ce type d’attaque, l’équipe a recommandé d’utiliser des étuis de téléphone plus épais (par exemple en bois), de placer le téléphone sur une nappe et de désactiver l'activation de l'assistant vocal sur l'écran de verrouillage. Elle recommande également de désactiver les résultats personnels de l'écran de verrouillage sur Android, ce qui signifie que vous devez déverrouiller votre appareil avant que Google Assistant puisse communiquer en votre nom et accéder à d'autres informations personnelles.
Bien que cette attaque nécessite un environnement si spécifique qu'il est peu probable qu'elle soit utilisée dans la nature, elle représente néanmoins une vulnérabilité jusqu'alors inconnue qui affecte presque tous les appareils mobiles, y compris tous les iPhone fonctionnant sous Siri et une pléthore d'appareils Android fonctionnant sous Google Assistant. « Nous voulons sensibiliser contre une telle menace. Je veux que tout le monde dans le public le sache », a déclaré Ning Zhang, professeur adjoint d'informatique et d'ingénierie à la McKelvey School of Engineering.
« J'ai l'impression que l'on n'accorde pas assez d'importance à la physique de nos systèmes informatiques. Ce sera l'une des clés pour comprendre les attaques qui se propagent entre ces deux mondes », a-t-il ajouté.
Sources : Université de Washington à St Louis, Rapport de l’étude (PDF)
Et vous ?
Voir aussi
L'ultrason est une onde mécanique et élastique. Elle peut se propager au travers de supports fluides, solides, gazeux ou liquides. Les assistants vocaux ont la capacité d'écouter une fréquence bien plus large que celle produite par la voix humaine. Ainsi, ils peuvent recevoir les ultrasons et les interpréter comme étant des commandes vocales même si ces derniers sont totalement inaudibles pour l'oreille humaine. Les chercheurs se sont rendu compte que la plupart des smartphones qu’ils ont soumis à l’attaque partageaient tous cette vulnérabilité.
Pour l’expérience, les chercheurs ont utilisé des outils spécialisés, notamment un logiciel capable de produire les bonnes formes d'onde, un générateur d’ondes ultrasoniques pour émettre le signal, un transducteur piézoélectrique (c’est un dispositif qui transforme un signal électrique en vibrations physiques), et un microphone caché pour écouter la réponse de l'assistant vocal. L'équipe a ensuite effectué deux tests, l'un pour récupérer un code d'accès SMS (texte) et l'autre pour passer un appel frauduleux. Les résultats ont été surprenants.
D’après le rapport d’étude, le premier test reposait sur la commande commune aux assistants vocaux « lire mes messages » et sur l'utilisation d'une authentification à deux facteurs, dans laquelle un code d'accès est envoyé au téléphone d'un utilisateur, d'une banque par exemple, pour vérifier l'identité de l'utilisateur. Les chercheurs ont d'abord demandé à l'assistant virtuel de baisser le volume au niveau 3. À ce volume, la victime n'a pas remarqué les réponses de son téléphone dans un environnement de bureau avec un niveau de bruit modéré.
Par la suite, lorsque le message simulé d'une banque est arrivé, le dispositif d'attaque a adressé la commande vocale “lire mes messages” au téléphone. La réponse était audible par le microphone sous la table, mais pas par la victime. Lors du second test, le dispositif d'attaque a envoyé le message “appelez Sam avec le haut-parleur”, et cela a déclenché un appel. Puis, en utilisant le microphone sous la table, l'attaquant a pu mener une conversation avec “Sam”. En tout, les chercheurs ont testé 17 téléphones et l'attaque à l’ultrason a fonctionné sur 15 appareils de quatre fabricants.
Ces marques sont Google (Pixel 1, Pixel 2, Pixel 3), Motorola (G5, Z4), Samsung (Galaxy S7, Galaxy S9), Xiaomi (Mi 5, Mi 8, Mi 8 Lite) et Apple (iPhone 5/5s/6 Plus/X). Ils ont également noté que l'attaque a fonctionné contre des téléphones avec des étuis en silicone. Quoi qu'il en soit, il est très probable que de nombreux autres téléphones soient touchés par ce piratage. Parmi les deux téléphones qui n’ont pas été atteints par l’attaque, il y a le Huawei Mate 9 et le Samsung Galaxy Note 10 Plus. Ils ont constaté les caches arrière incurvées de ces téléphones les protégeaient.
En d’autres termes, les caches réduisaient la surface de contact du téléphone avec la table. Pour se protéger contre ce type d’attaque, l’équipe a recommandé d’utiliser des étuis de téléphone plus épais (par exemple en bois), de placer le téléphone sur une nappe et de désactiver l'activation de l'assistant vocal sur l'écran de verrouillage. Elle recommande également de désactiver les résultats personnels de l'écran de verrouillage sur Android, ce qui signifie que vous devez déverrouiller votre appareil avant que Google Assistant puisse communiquer en votre nom et accéder à d'autres informations personnelles.
Bien que cette attaque nécessite un environnement si spécifique qu'il est peu probable qu'elle soit utilisée dans la nature, elle représente néanmoins une vulnérabilité jusqu'alors inconnue qui affecte presque tous les appareils mobiles, y compris tous les iPhone fonctionnant sous Siri et une pléthore d'appareils Android fonctionnant sous Google Assistant. « Nous voulons sensibiliser contre une telle menace. Je veux que tout le monde dans le public le sache », a déclaré Ning Zhang, professeur adjoint d'informatique et d'ingénierie à la McKelvey School of Engineering.
« J'ai l'impression que l'on n'accorde pas assez d'importance à la physique de nos systèmes informatiques. Ce sera l'une des clés pour comprendre les attaques qui se propagent entre ces deux mondes », a-t-il ajouté.
Sources : Université de Washington à St Louis, Rapport de l’étude (PDF)
Et vous ?
Voir aussi
-
stimshopNouveau Candidat au ClubLa proximité est la 1ère sécurité. La transmission va dépendre de la matière de la table. Pour 9m, il faut une table une table en aluminium. 50cm avec du bois aggloméré.le 04/03/2020 à 9:19
-
NeckaraInactifHeu… ils ne l'ont pas déjà fait il y a bien de cela au moins 2 ans ?le 04/03/2020 à 10:02