Brutte notizie per chi ha in casa uno smart speaker compatibile con Amazon Alexa, Google Assistant o Apple Siri: un hacker potrebbe hackerarlo facilmente a distanza usando un semplice puntatore laser e “costringerlo” a fargli fare ciò che vuole.
Lo hanno scoperto i ricercatori dell’University of Electro-Communications di Tokyo e quelli dell’University of Michigan che hanno testato con successo il procedimento su Amazon Echo e Fire Cube TV, Google Home, Facebook Portal Mini (che funziona con Alexa) ma anche con gli smartphone Samsung Galaxy S9 e Google Pixel 2. Tutti questi dispositivi hanno in comune due cose: un microfono e un assistente vocale che riceve i comandi dal microfono. Nonostante la cosa sembri fantascienza, l’esperimento dei ricercatori è talmente semplice che è praticamente certo che la tecnica funzioni con qualunque dispositivo in grado di ricevere comandi vocali da un microfono.
Come si fa ad hackerare un dispositivo col laser
Tutti i microfoni, compresi quelli integrati negli smart speaker e nei cellulari hanno una membrana chiamata diaframma. Questa membrana riceve le vibrazioni dell’aria generate dalla nostra voce (o da qualunque altro suono) e le trasformano in un segnale elettrico. Anche un laser, se settato a certe frequenze e puntato contro il microfono, può far vibrare il diaframma. Ciò vuol dire che è possibile ingannare gli assistenti vocali facendo vibrare il diaframma dei microfoni simulando la vibrazione generata da un determinato comando vocale. Basta che il laser possa vedere fisicamente il microfono: un muro lo impedisce, una finestra no.
Assistenti vocali hackerati dal laser: cosa si rischia?
Con questa tecnica è possibile comandare un assistente vocale fino a oltre cento metri di distanza, come hanno mostrato i ricercatori puntando un laser contro un Google Home. E il comando potrebbe essere qualunque: da “metti una canzone dei Beatles” ad “accendi le luci“. Passando per “compra gioielli su Amazon” e “apri la porta di casa” (se abbiamo una smart lock collegata al device). Ma non solo: un hacker in questo modo può anche inviare una e-mail ad un indirizzo specifico, aprire una pagina Web (magari infetta) e molto, molto altro. E moltissimo altro potrà fare in futuro, quando gli assistenti digitali diventeranno più potenti e saranno in grado di ricevere più comandi.
