Новая техника атаки SurfingAttack использует голосовые команды, зашифрованные в ультразвуковых волнах. С их помощью злоумышленник может незаметно активировать голосового помощника.
SurfingAttack можно использовать только для совершения звонков или чтения текстовых сообщений.
Об этой технике рассказали на мероприятии Network and Distributed Systems Security Symposium в Калифорнии:
«Мы разработали новую технику SurfingAttack, позволяющую взаимодействовать с управляемым голосом устройством. При этом атакующему не обязательно находиться рядом с жертвой», – описывали технику ИБ-специалисты – «С помощью SurfingAttack потенциальный киберпреступник может перехватывать короткие коды аутентификации, пересылаемые в SMS-сообщениях, а также совершать звонки без согласия владельца девайса».
SurfingAttack была протестирована с 17 различными гаджетами, 13 из которых являлись Android-смартфонами с помощником Google Assistant, а остальные – iPhone с ассистентом Siri. В ходе теста SurfingAttack использовался ноутбук, расположенный в соседней комнате, подключённый при этом к генератору волн.
В результате эксперты смогли получить контроль над 15 устройствами. Техника оказалась бессильна против Samsung Galaxy Note 10+ и Huawei Mate 9.