Embora tal prática ainda não seja tão popular no Brasil, o uso de assistentes virtuais está virando algo comum no resto do mundo. Opções como Siri, Google Assistente, Alexa e Bixby (da Samsung) estão presentes em um número cada vez maior de dispositivos, incluindo smart speakers e smartphones de entrada. O que muitos se esquecem é que tais inteligências artificiais podem não ser tão seguras assim — e um novo estudo realizado por pesquisadores chineses e norte-americanos são uma excelente prova disso.
Trabalhando em conjunto, os especialistas demonstraram um ataque que ficou batizado como SurfingAttack. Utilizando um transdutor piezoelétrico (dispositivos transmissores que são incrivelmente baratos e acessíveis, até mesmo no comércio brasileiro) posicionado de forma oculta debaixo de uma mesa de madeira, eles conseguiram emular comandos de voz remotamente modulando palavras em um software text-to-speech (TTS). Tudo isso em uma frequência ultrassônica, inaudível para seres humanos.
O resultado foi perturbador: dos 17 modelos de dispositivos móveis usados no experimento, 15 deles estavam vulneráveis ao SurfingAttack, ativando seus assistentes virtuais nativos a partir dos comandos artificiais dos pesquisadores e obedecendo às ordens referidas. Dessa forma, foi possível realizar ligações, solicitar a captura de selfies e até mesmo ler mensagens SMS em voz alta — algo que se provou particularmente perigoso para a obtenção de códigos de verificação recebidos por mensagens de texto.
Entre os aparelhos testados, destacam-se gadgets de alto nível como Google Pixel 3, Moto Z4, Samsung Galaxy S9, Xiaomi Mi 8 e iPhone X. Embora todas as assistentes do mercado são configuradas para atender a um timbre de voz específico, o time descobriu que essa barreira pode ser facilmente transposta com a ajuda de uma solução de machine learning como a Lyrebird, que clona a voz de um ser humano a partir de uma pequena amostra de áudio. Tal software é disponibilizado comercialmente e possui até uma edição gratuita.
Embora o SurfingAttack seja realmente assustador, é crucial lembrar que o atacante precisaria estar razoavelmente perto de você para conseguir efetuar a manobra (além de ter instalado o transdutor previamente na superfície em que seu smartphone repousará). De qualquer forma, os especialistas sugerem cuidado ao deixar seu gadget em locais desconhecidos; o uso de uma “cama” feita de algum tecido ou de capinhas grossas também podem resolver o problema.
Fonte: SurfingAttack, Naked Security