Denk twee keer na voordat u een iPhone oplaadt op tafelbladen op openbare plaatsen zoals luchthavens en coffeeshops.

Onderzoekers van het Michigan State University College of Engineering hebben een nieuwe manier ontdekt waarop hackers op een goedkope manier persoonlijke apparaten kunnen aanvallen en Apple's Siri en Google Assistant aan het werk kunnen zetten tegen smartphonebezitters.

Qiben Yan, assistent-professor bij de afdeling Computer Science and Engineering en hoofdauteur van het onderzoek, zei dat het onderzoeksteam een ​​nieuwe aanvalsfactor ontdekte - onhoorbare trillingen die door hout kunnen worden gestuurd, metalen en glazen tafelbladen om spraakassistent-apparaten tot op 10 meter afstand te bedienen.

Het onderzoek, SurfenAanval, werd op 24 februari gepresenteerd op het Network and Distributed System Security Symposium in San Diego.

Yan raadt smartphonebezitters aan om op hun hoede te zijn voor openbare laadstations. "Hackers kunnen kwaadaardige ultrasone golven gebruiken om in het geheim de stemassistenten in uw slimme apparaten te besturen, " zei hij. "Het kan worden geactiveerd met zinnen als, 'Ok Google' of 'Hé Siri, " als wake-up woorden. Dan, aanvalscommando's kunnen worden gegenereerd om uw stemassistenten te bedienen, zoals 'lees mijn berichten, " of een fraudeoproep doen met behulp van tekst-naar-spraaktechnologie.

"Met andere woorden, " zei Jan, "ze kunnen je vrienden bellen, familie en collega's en allerlei dingen doen - van plannen annuleren tot geld vragen. Als je technisch onderlegd bent en spraakgestuurde smart home-gadgets hebt, hackers kunnen zelfs uw smartphones gebruiken om uw slimme gadgets te bedienen, bijvoorbeeld, het instellen van de huistemperatuur of het openen van de garagedeur."

Yan zei dat hackers een goedkope piëzo-elektrische transducer onder een tafel of laadstation bevestigen. waardoor het voor een aanvaller mogelijk wordt om onopvallend tweefactorauthenticatiecodes te kapen en zelfs frauduleuze oproepen te plaatsen

Hanqing Guo, een MSU-afgestudeerde student bij de afdeling Computerwetenschappen en Engineering en co-auteur van de studie, zei:"Het is best eng om te zien dat mijn telefoon zonder mijn medeweten wordt geactiveerd en bestuurd in openbare ruimtes. Ons onderzoek legt de onveiligheid van spraakassistenten op smartphones bloot, waarvan iedereen op de hoogte moet zijn."

SurfingAttack werkte aan 15 van de 17 geteste telefoonmodellen, inclusief vier iPhones; de 5, 5en, 6 en X; de eerste drie Google Pixels; drie Xiaomi's; ik 5, Mi 8 en Mi 8 Lite; de Samsung Galaxy S7 en S9 en de Huawei Honor View 8.

"Ons onderzoek legt de onveiligheid van spraakassistenten op smartphones bloot, "zei Guo.

Jan, die het Secure Intelligent Things Lab van MSU leidt, werkte samen met onderzoekers van MSU, Washington University in St. Louis, Chinese Academie van Wetenschappen en de Universiteit van Nebraska-Lincoln.

"Ons beste advies is als je je onbeheerde telefoon op een tafel legt om op te laden, zorg ervoor dat het niet plat is, " zei hij. "SurfingAttack kan minder effectief worden gemaakt door simpelweg je telefoon op te tillen of een zacht geweven tafelkleed te gebruiken. Leun met uw telefoon op iets om de ultrasoon geleide golven te verstoren. De oplossing is eenvoudig en voegt een beveiligingslaag toe."