Il suo nome è Takeshi Sugukawa (University of Electro-Communications di Tokyo) e nei mesi scorsi scoprì un curioso effetto che, a distanza di poco tempo, si rivela essere anche pericoloso e non soltanto mera curiosità. Nella fattispecie Sugukawa scoprì (utilizzando un iPad) che un raggio laser direzionato verso il microfono era in grado di produrre un suono “silenzioso”. O meglio: il microfono, eccitato dal laser, era in grado di mutare il raggio in impulso elettrico interpretato dal device come un suono; tutto attorno, invece, non si poteva udire nulla poiché di suono effettivo non ne veniva prodotto.
Dubbed Light Commands
Questo piccolo trucco (“Dubbed Light Commands“), scoperto quasi per caso, è ora al centro delle attenzioni hacker perché produrre silentemente un suono interpretabile da un device elettronico equivale potenzialmente a controllare da remoto uno speaker, uno smartphone o qualsivoglia altro device animato da comandi vocali. Che sia un Google Home o un Amazon Echo, insomma, con un laser e senza proferire parola alcuna si potrebbero impartire comandi da remoto, anche ad una certa distanza ed in totale silenzio.
Quale il possibile impatto? Difficile a dirsi, ma sicuramente grave poiché i comandi vocali sono sempre più al centro del sistema nervoso dell’ambiente domestico e l’utenza non è culturalmente pronta ad attendersi un attacco veicolato tramite questo tipo di device. Qualora uno speaker o uno smartphone possano ad esempio controllare parametri particolari della casa (antifurto, videosorveglianza, termostato), a questo punto un eventuale attacco si rivelerebbe pericoloso e non potrebbe essere in alcun modo sottovalutato l’impatto di questo tipo di minaccia.
Le modalità di attacco sembrano evidenziare tutti i limiti di una minaccia di questo tipo, che implica una presenza in loco (ma il segnale può essere impartito anche da distanze considerevoli, da 5 a 50 metri in base al tipo di device nel mirino, arrivando fino a oltre 100 metri in alcune condizioni), una modulazione ad hoc del segnale laser e l’estrema precisione del fascio verso il microfono. Tali condizioni sono tuttavia attivabili con apposita strumentazione e laddove il gioco valga la candela un malintenzionato potrebbe approfittarne per cogliere informazioni sensibili, accedere a locali protetti o semplicemente dar adito ad azioni di phishing, truffa o disturbo.
Nel team autore del paper c’è peraltro anche un importante contributo italiano: il suo nome è Sara Rampazzi, Dept. of electrical engineering and computer science, University of Michigan.
After more than half a year of work, check out our latest paper Light Commands: Laser-Based Audio Injection on Voice-Controllable Systems. More details at https://t.co/UL1WR3NDWk
Joint work with Takeshi Sugawara, Benjamin Cyr, Daniel Genkin, and @DrKevinFu #lightcommands pic.twitter.com/kvuudoVMdR— Sara Rampazzi (@sara_rampazzi) November 4, 2019
Si può dunque parlare a distanza, e in silenzio, con Alexa o con l’Assistente Google? A quanto pare sì, per una fragilità congenita dei dispositivi hardware utilizzati per l’interazione vocale. Il paper dei ricercatori porterà probabilmente gli sviluppatori a soluzioni di protezione sui microfoni, barriere in grado di respingere un raggio laser o di confonderne il segnale per evitare che si possano impartire specifici comandi da remoto. In caso contrario il ruolo degli speaker rimarrà giocoforza limitato, limitato ai paletti fissati dagli hacker che sussurravano con i laser.