Alcuni ricercatori affermano che basterebbe un dispositivo di sintesi vocale affinchè un malware possa eludere certi controlli di sicurezza.
L'innovativa tecnologia di controllo vocale che recentemente è stata approntata al fine di rendere più agevole l'uso di PC e smartphone, in particolare per tutte quelle persone che sono impedite da disabilità, potrebbe rappresentare la nuova frontiera su cui doversi confrontare con gli hacker. Sembrerebbe che tale tecnologia possa anche fornire agli hacker una maniera per aggirare i controlli di sicurezza e accedere ai dati sensibili memorizzati all'interno di questi dispositivi.
Le funzioni di accessibilità hanno ragione di esistere per un buon motivo, in quanto danno modo di avere il controllo di cosa sta accadendo sull'interfaccia grafica dell'utente, senza la necessità di dovere digitare comandi ed eseguire. Un'ottima cosa soltanto se progettate rispettando i crismi dovuti facendo estrema attenzione che queste stesse funzioni non possono essere aggirate.
Alcuni ricercatori facenti parte della Georgia Tech, hanno rinvenuto il modo di poter eludere i protocolli di sicurezza facendo uso non autorizzato dei controlli vocali per introdurre un testo o attivare tap sui tasti. Avendo realizzato un documento in cui sono stati elencati i dettagli dello studio in questione, i ricercatori hanno provveduto a descrivere i 12 modi che potrebbero essere utilizzati per lanciare attacchi malevoli sui telefoni equipaggiati con sistemi operativi Android, iOS, Windows Phone, o Ubuntu Linux, tra cui alcuni che non richiedono un accesso fisico al dispositivo.
Durante la simulazione dimostrativa relativa di un attacco a un laptop, i ricercatori hanno avuto modo di appurare come possa essere possibile che una parte di malware utilizzi il riconoscimento vocale di Windows per violare la gestione di comandi che di solito in condizioni normali necessitino di un elevato livello di autorizzazioni.
Nell'altra dimostrazione che hanno realizzato si sono dedicati ad analizzare come un malware potrebbe attaccare uno smartphone. Il tallone di Achille sta nel fatto che Google Now, un assistente di controllo vocale che viene messo a disposizione con il sistema operativo Android, può utilizzare un'impronta vocale invece di un codice di accesso da dovere digitare in maniera tradizionale. I ricercatori hanno dato dimostrazione come un hacker possa con estrema facilità, registrare la frase di autenticazione su un telefono Moto X, per poi utilizzare un programma text-to-speech al fine di dare altri comandi come se fosse l'utente. L'attacco è mostrato qui.
 |
"Questo è un campanello di allarme importantissimo per i maggiori produttori di sistemi operativi Microsoft, Apple, e Linux", dichiara Radu Sion, direttore del National Security Institute presso la Stony Brook University. Wenke Lee, un'informatico della Georgia Tech, che ha condotto il lavoro, fa chiarezza sul fatto che questi problemi pare che possano essere la conseguenza dell'introduzione del riconoscimento vocale e di altre caratteristiche nell'ambito di sviluppo degli smartphone più attuali. "Ho ragione di credere che ci siano problemi sostanzialmente complicati da determinare", spiega Lee. "Queste specifiche sono state introdotte dopo che i sistemi operativi sono stati potenziati, quindi queste funzionalità non hanno lo stesso standard dei controlli di sicurezza". Gli hacker potrebbero utilizzare le debolezze in remoto per dare il via o intensificare un attacco a un dispositivo, continua Lee.
Pure se un telefono che inizia a parlare con lui stesso, potrebbe essere sufficientemente chiaro per l'utente, che un'applicazione malevola potrebbe avere tenuto traccia dei dati di movimento e aspettare che il telefono rimanga fermo per un lungo periodo, inducendo a credere che l'utente con ogni probabilità non si trovi nelle vicinanze, conclude Lee.
