Des chercheurs ont réussi à détourner Siri via des ondes ultrasoniques
- Julien Russo
- Il y a 5 ans (Màj il y a 5 ans)
- 💬 Réagir
- 🔈 Écouter
Les assistants vocaux qu'on possède sur nos smartphones et montres connectées sont-ils aussi sécurisés qu'on le pense ? Pas vraiment d'après des chercheurs en sécurité qui ont réussi l'exploit de détourner n'importe quel assistant virtuel. Ça fonctionne avec Siri comme Google Assistant. Le détournement se réalise via des ondes ultrasoniques qui sont inaudibles par l'oreille humaine.
Une faille de sécurité
Apple ne s'attendait probablement pas à que Siri puisse être détourné par des sons que l'humain ne peut pas entendre, et pourtant cela serait possible. Il s'agit là d'une attaque qui peut mettre à mal vos données personnelles, puisqu'il est possible via un assistant vocal de lire des messages, prendre des photos, mais surtout de passer des appels vocaux à des numéros surtaxés (qui peuvent rapidement vous faire gonfler la facture).
Cette attaque a déjà un nom, elle s'appelle "SurfingAttack", elle utilise des ondes sonores à haute fréquence imperceptible par l'homme et les hackers peuvent activer et interagir avec l'assistant vocal en toute discrétion. On vous avait relayé des attaques similaires précédemment sur iPhoneSoft. Le fonctionnement est le même, en plus organisé !
Comment diffuser les ondes ultrasonores ?
Les chercheurs qui ont découvert cette faille ont utilisé un transducteur piézoélectrique qui leur a coûté seulement 5 dollars. Il suffit de le fixer en dessous d'une table et il s'occupe du reste, c'est-à-dire il envoie les ondes ultrasonores et créer la connexion entre l'appareil et le hacker.
Les attaques ont été testées avec 17 smartphones différents qui avaient tous activé la détection automatique "Dis Siri" ou "OK Google". Il a été révélé que des iPhone, Google Pixels et plusieurs Samsung Galaxy sont tous tombés dans le panneau.
Ils ont donc réussi à passer des appels téléphoniques, prendre des photos ou lire un message qui contenait un code d'authentification pour se connecter sur le compte d'un site web.
Mais dans cette histoire, il y a une faille. Quand on déclenche un assistant vocal, celui-ci vous parle et cela fait donc du bruit ! Les chercheurs ont déclaré qu'avant toute interaction avec l'assistant vocal, ils ont réussi à baisser le son de l'appareil pour que toutes les requêtes envoyées après soient silencieuses.
Deux smartphones ont résisté à l'attaque
Les chercheurs ont quand même applaudi Huawei et Samsung, puisque deux smartphones ont résisté à toutes les tentatives de détournements. Il s'agit du Huawei Mate 9 et du Samsung Galaxy Note 10+. Concernant les enceintes connectées, le HomePod n'a pas été testé, mais l'Amazon Echo et le Google Home n'ont pas réagi à l'attaque. Enfin, il ne faut pas croire que les enceintes sont immunisées, puisqu'avec un rayon laser, on peut facilement les corrompre.
Source