Falha permite acesso ao celular por meio de assistente virtual
Um grupo de pesquisadores de segurança encontrou uma vulnerabilidade nas assistentes virtuais inteligentes Siri, Bixby e Google Assistente. A brecha conhecida como SurfingAttack permite a invasão de celulares a partir de ondas ultrassônicas que reproduzem o comando do usuário para enganar o sistema. A falha possibilita que o invasor tire selfies, leia mensagens de SMS e faça chamadas fraudulentas.
Os cientistas realizaram testes em 17 smartphones de diferentes marcas e, dentre eles, apenas o Galaxy Note 10 e o Huawei Mate 9 não foram afetados.
O estudo foi conduzido pelos pesquisadores da Universidade de Michigan, da Universidade de Nebraska-Lincoln e da Universidade de Washington em conjunto com a Academia Chinesa de Ciências. Eles descobriram que era possível adaptar os comandos de voz que acionam as assistentes virtuais em ondas ultrassônicas reconhecíveis pelos aparelhos.
As ondas ultrassônicas podem ser captadas pelos microfones de celulares e alto-falantes inteligentes, mas são inaudíveis pelo ouvido humano. Após serem recebidas pelo alvo, elas são convertidas em um pulso elétrico que é decodificado pelo aparelho, que então executa o comando recebido. Desse modo, os pesquisadores conseguiram acessar o smartphone para tirar fotos usando a câmera frontal, realizar chamadas e até ler torpedos, incluindo os códigos de verificação de dois fatores.
Segundo os especialistas, para que o ataque funcione é preciso haver uma distância máxima de 45 centímetros entre o emissor de ondas e o dispositivo alvo. Além disso, o espaço não pode estar bloqueado por outros aparelhos e objetos, o que dissiparia as ondas.
As exigências para o SurfingAttack acontecer minimizam o risco de o usuário ficar exposto a um ataque remoto. No entanto, há um perigo real quando se está próximo deste emissor. Caso ele seja colocado abaixo de uma mesa, por exemplo, além de não haver materiais bloqueando as ondas ultrassônicas, o usuário provavelmente não irá perceber a presença do equipamento.
Os pesquisadores realizaram testes em 17 telefones. Foram adotados aparelhos de marcas como Apple, Google, Huawei, Motorola, Samsung e Xiaomi. Dentre eles, apenas o alto-falante Echo, da Amazon, e os smartphones Galaxy Note 10 e Huawei Mate 9 não foram afetados pelo ataque. Eles explicam que estes aparelhos resistiram porque foram construídos com materiais que atenuaram as ondas ultrassônica
Como se prevenir
De acordo com os cientistas, o usuário pode se proteger ao optar por colocar capas grossas de madeira ou então bloquear o aparelho quando não estiver sendo usado. O grupo também sinaliza que é possível prevenir o ataque ao colocar um pano sobre o smartphone. A maneira mais eficaz, no entanto, é desativar a assistente virtual na tela de início.
No Android, basta acessar o Google Assistente e tocar no ícone da bússola. Depois, basta tocar em Configurações > Assistente > Dispositivos Assistentes > Telefone e então desativar os resultados pessoais na tela de bloqueio.
Para desativar no iPhone (iOS), acesse Ajustes > Face ID e Código ou Touch ID e Código (em modelos mais antigos) e em seguida, basta clicar no interruptor para desativar o acesso à Siri quando a tela estiver bloqueada.
Fonte: techtudo