Kínai kutatók egy olyan hackertámadás lehetőségét demonstrálták, amellyel a népszerű hangalapú digitális asszisztenseknek lehet olyan parancsokat kiadni, hogy különféle rosszindulatú aktivitásokat kezdeményezzenek a kapcsolódó mobileszközökön. Mindez ultrahangok közvetítésével történik, amiből a felhasználó semmit sem hall.

A DolphinAttacknak nevezett támadás során arra kérhetik mondjuk a Sirit, hogy kezdeményezzen FaceTime hívást az iPhone-on, arra a Google-t, hogy kapcsoljon repülőgépes üzemmódba, de felszólíthatnak rosszindulatú weboldalak megnyitására, a felhasználó utáni kémkedésre a webkamera bekapcsolásával, spamek küldésére, sőt akár egy Audi navigációs rendszerét is befolyásolhatják.

A „célszerszám” nagyjából három dollárba, azaz nem egészen ezer forintba kerül, és egy erősítőt, egy ultrahangos átalakítót és egy akkumulátort tartalmaz. A támadók az emberi hangutasításokat 20 kHz fölötti frekvenciájú, azaz az emberi fül számára már nem érzékelhető hangokká alakítják (a kísérletek során 25-39 kHz közötti hangokat használtak), ezzel adják ki az utasításokat.

Amazon

A DolphinAttack egyébként nem a digitális asszisztensek sebezhetőségét használja ki, hanem a kapcsolódó eszközök hardvereinek gyengeségét. Kiderült, hogy a támadás minden nagyobb hangfelismerő platformon működik, és hatással van az iOS-es és androidos készülékekre, még akkor is, ha azokon valamennyi biztonsági intézkedést meghoztak. Kiderült viszont, hogy az iPhone 6 Plus ellenállt, ennek az eszköznek a mikrofonja figyelmen kívül hagyta a 20 kHz feletti frekvenciájú jeleket.

A támadóknak egy korláttal mindenképpen számolniuk kell, a támadásra használt eszköznek két méternél közelebb kell lenni a kiszemelt rendszerhez (a kísérletek során 175 centinél találták a határt), bár a kutatók szerint a jobb támadóeszközök használata növelheti ezt a távolságot.

Ellenszerként azt javasolják a szakemberek, hogy az eszközgyártók úgy készítsék, programozzák a készülékeket, hogy azok hagyják figyelmen kívül a fül számára hallhatatlan frekvenciákon érkezett parancsokat (mint ahogy az iPhone 6 Plus teszi), a felhasználók pedig, amennyiben tartanak az ilyen támadásoktól, a szóban forgó frissítések megérkezéséig kapcsolják ki hangfelismerő asszisztenseiket.