Smart speaker hackerati con raggio laser – C’è da preoccuparsi?

Sembra che gli smart speaker e i relativi assistenti vocali Siri, Alexa e Google Assistant siano vulnerabili ad attacchi compiuti con un semplice raggio laser che, puntato su questi dispositivi, può causare l’attivazione dell’assistente vocale con comandi che vanno dall’aprire una pagina web all’aprire la porta di casa con serratura smart.

Questi cosiddetti comandi luminosi (Light Commands attacks) hanno effetto non solo sui citati Google Home, Amazon Echo e Apple HomePod, ma anche su altri dispositivi testati come Facebook Portal (una linea di smart display), e una serie di smartphone.

Ma come fa il raggio laser ad attivare lo smart speaker?

Questi dispositivi sono dotati di microfoni di tipo MEMS (micro-elettro-mechanical systems), un tipo particolare di microfoni caratterizzati da dimensioni ridotte, buona qualità audio, affidabilità ed economicità.

I microfoni MEMS sembra però che abbiano anche la caratteristica di essere suscettibili a fasci luminosi, rilevati da essi come se fossero segnali audio. Per questo motivo, anche se i ricercatori hanno testato un numero limitato di dispositivi, è probabile che tutti i prodotti che fanno uso di questo tipo di microfoni (con microfoni esposti alla luce) possano essere suscettibili ad attacchi luminosi.

È sufficiente modulare il fascio di luce in modo tale che il microfono lo percepisca come un determinato comando (per esempio, Ok Google, spegni le luci), puntare il laser sul punto esatto ed il gioco è fatto.

Questi attacchi luminosi hanno alcune limitazioni e difficoltà. Bisogna infatti avere una visuale sgombra del dispositivo e bisogna mirare appunto ad un punto preciso del dispositivo. Ma in fin dei conti non sembra assolutamente una cosa troppo complicata.

Se un attacco luminoso effettuato mentre noi siamo in casa e vicino allo smart speaker può essere facilmente individuato, l’utilizzo di un laser infrarosso inoltre, renderebbe invece l’attacco completamente invisibile.

Se non altro questi dispositivi emettono segnali luminosi e/o vocali quando attivati, cosa che ci farebbe subito notare il suo funzionamento anormale. Rimane il problema quindi per tutte le occasioni in cui non si è nella stessa stanza, cosa non da poco.

Considerando poi che questi dispositivi non hanno metodi di autenticazione molto robusti, un hacker potrebbe essere in grado di aprirvi la porta di casa, aprire il garage, comprare online a vostre spese o anche accendere la vostra auto (nel caso per esempio di una Tesla connessa all’assistente vocale).

Nel seguente video viene spiegato il funzionamento di questi attacchi luminosi:

Mentre in questo video viene dimostrato uno di questi possibili attacchi:

In conclusione, come spesso accade con le nuove tecnologie, ci sono ancora tanti problemi più o meno grossi da risolvere. Questo a mio parere è potenzialmente piuttosto grave, ma allo stesso tempo credo sia facile da risolvere con un semplice redesign del dispositivo, o al limite, per chi ne ha già uno in casa, posizionandolo in modo tale che il microfono non possa essere raggiunto da alcuna luce esterna.