Votre smartphone peut aussi être piraté par une table et des ultrasons !
Votre smartphone ou plutôt son assistant vocal Google Assistant, Alexa ou Siri, peuvent être piratés en faisant vibrer une table avec des ultrasons inaudibles. Une équipe de chercheurs montre vidéo à l'appui comment prendre le contrôle d'un smartphone, extraire des SMS et même passer des appels frauduleux à l'insu de l'utilisateur.
On avait déjà vu comment des enceintes connectés pouvaient être piratées avec un laser. Les microphones de ces appareils fonctionnent en effet de sorte que des pulsations lumineuses peuvent être détectées comme s'il s'agissait de sons. Une équipe de l'Université de Washington (St Louis) montre qu'il est également possible de pirater de manière redoutable l'assistant vocal des smartphones, qui auraient le malheur d'être posés sur une table parcourue d'ultrasons.
Dans une vidéo, les chercheurs montrent qu'il est ainsi plutôt simple de provoquer la prise de photo, d'ajuster le volume, d'extraire des SMS, voire carrément de passer des appels frauduleux, tout cela sans qu'un son audible par l'oreille humaine ne soit émis par le dispositif des chercheurs. Un type d'attaque qu'ils ont baptisé SurfingAttack.
Microphones + assistants vocaux : cocktail détonnant
Il n'y a portant rien de magique là dedans. Le piratage des enceintes connectées via un laser dont nous vous parlons plus haut s'appuyait en effet sur l'une des nombreuses caractéristiques qui différencient les microphones des appareils électroniques de l'oreille humaine.Or, l'une de ces différences, c'est aussi que ces micros captent des fréquences bien au-delà de ce que permettent nos oreilles.
Par ailleurs, le traitement de l'audio réalisée par le smartphone à la volée est faillible et peut permettre de rendre audible des sons qui pourtant ne l'étaient pas. C'est comme cela qu'il devient possible par exemple de passer des appels frauduleux sans qu'aucun son audible ne puisse être entendu à proximité du smartphone. A l'inverse, il est possible d'extraire le contenu de SMS en demandant à l'assistant vocal de les lire.
Même à très faible volume les vibrations des haut parleurs peuvent être récupérées via la table, puis amplifiées et traitées. Les chercheurs illustrent le risque en récupérant un code de double authentification reçu par SMS. Ainsi, le simple fait de poser un smartphone sur une table vous expose donc désormais à un risque de piratage accru. D'autant que le dispositif des chercheurs peut potentiellement devenir très discret.
Il suffit en effet de préparer une table avec un microphone de contact pour récupérer ce que dit l'assistant, et un transducteur piézoélectrique pour transmettre les commandes sous la forme d'ultrasons. Un ordinateur génère les commandes, soit sur demande, soit de manière automatisée. Le signal est traité par un générateur ultrasons qui provoque la vibration de la table grâce au transducteur.
Les chercheurs expliquent que Surfing Attack fonctionne avec les tables en bois, verre et métal. L'attaque fonctionne aussi avec des tables en plastique mais les chercheurs précisent que c'est alors moins fiable. En outre, il ne semble pas qu'il existe à l'heure actuelle de smartphone immunisés contre Surfing Attack. 17 smartphones ont été testés dont les Pixel, des Galaxy S7 et S9 des Xiaomi Mi 5/8/8 Lite et iPhone 5/5s/6 Plus et X.
Lire également : Google Assistant, Alexa, Siri – attention aux arnaques qui exploitent vos commandes vocales
Et les chercheurs d'ajouter que l'attaque fonctionne aussi lorsque les smartphones sont protégés dans une coque en silicone (dont on aurait pu imaginer qu'elle puisse amortir les vibrations).
https://youtu.be/pQw2zRAqVnI
Source : Android Authority
