Votre smartphone peut aussi être piraté par une table et des ultrasons !

 

Votre smartphone ou plutôt son assistant vocal Google Assistant, Alexa ou Siri, peuvent être piratés en faisant vibrer une table avec des ultrasons inaudibles. Une équipe de chercheurs montre vidéo à l'appui comment prendre le contrôle d'un smartphone, extraire des SMS et même passer des appels frauduleux à l'insu de l'utilisateur.

Capture de la vidéo / Crédits : SurfingAttack via YouTube

On avait déjà vu comment des enceintes connectés pouvaient être piratées avec un laser. Les microphones de ces appareils fonctionnent en effet de sorte que des pulsations lumineuses peuvent être détectées comme s'il s'agissait de sons. Une équipe de l'Université de Washington (St Louis) montre qu'il est également possible de pirater de manière redoutable l'assistant vocal des smartphones, qui auraient le malheur d'être posés sur une table parcourue d'ultrasons.

Dans une vidéo, les chercheurs montrent qu'il est ainsi plutôt simple de provoquer la prise de photo, d'ajuster le volume, d'extraire des SMS, voire carrément de passer des appels frauduleux, tout cela sans qu'un son audible par l'oreille humaine ne soit émis par le dispositif des chercheurs. Un type d'attaque qu'ils ont baptisé SurfingAttack.

Microphones + assistants vocaux : cocktail détonnant

Il n'y a portant rien de magique là dedans. Le piratage des enceintes connectées via un laser dont nous vous parlons plus haut s'appuyait en effet sur l'une des nombreuses caractéristiques qui différencient les microphones des appareils électroniques de l'oreille humaine.Or, l'une de ces différences, c'est aussi que ces micros captent des fréquences bien au-delà de ce que permettent nos oreilles.

Par ailleurs, le traitement de l'audio réalisée par le smartphone à la volée est faillible et peut permettre de rendre audible des sons qui pourtant ne l'étaient pas. C'est comme cela qu'il devient possible par exemple de passer des appels frauduleux sans qu'aucun son audible ne puisse être entendu à proximité du smartphone. A l'inverse, il est possible d'extraire le contenu de SMS en demandant à l'assistant vocal de les lire.

Même à très faible volume les vibrations des haut parleurs peuvent être récupérées via la table, puis amplifiées et traitées. Les chercheurs illustrent le risque en récupérant un code de double authentification reçu par SMS. Ainsi, le simple fait de poser un smartphone sur une table vous expose donc désormais à un risque de piratage accru. D'autant que le dispositif des chercheurs peut potentiellement devenir très discret.

Il suffit en effet de préparer une table avec un microphone de contact pour récupérer ce que dit l'assistant, et un transducteur piézoélectrique pour transmettre les commandes sous la forme d'ultrasons. Un ordinateur génère les commandes, soit sur demande, soit de manière automatisée. Le signal est traité par un générateur ultrasons qui provoque la vibration de la table grâce au transducteur.

Les chercheurs expliquent que Surfing Attack fonctionne avec les tables en bois, verre et métal. L'attaque fonctionne aussi avec des tables en plastique mais les chercheurs précisent que c'est alors moins fiable. En outre, il ne semble pas qu'il existe à l'heure actuelle de smartphone immunisés contre Surfing Attack. 17 smartphones ont été testés dont les Pixel, des Galaxy S7 et S9 des Xiaomi Mi 5/8/8 Lite et iPhone 5/5s/6 Plus et X.

Lire également : Google Assistant, Alexa, Siri – attention aux arnaques qui exploitent vos commandes vocales

Et les chercheurs d'ajouter que l'attaque fonctionne aussi lorsque les smartphones sont protégés dans une coque en silicone (dont on aurait pu imaginer qu'elle puisse amortir les vibrations).

Source : Android Authority



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…